はじめに
初めまして!
我々は 2025年度上期 未踏アドバンスト事業 として、ペンテスト AI 開発プロジェクトを推進しています。 これまで性能向上に尽力してまいりましたが、ようやく高い性能を安定的に実現できる目処が立ちました。これを受け、本格的な事業化へ移行します。
本記事では、我々がなぜこのプロジェクトに取り組み、何を作り、どこまで進んでいるのか、その概要と技術的なハイライトをご紹介します。
解決したい課題
現代の開発は、AI 支援 (e.g. GitHub Copilot) やローコード化で、かつてないスピードに達しています。
しかし、そのスピードには代償が伴うことがあります。 例えば GitHub Copilot が生成したコードのおよそ 40% に脆弱性が含まれていたという報告もあり、開発が高速化するほどセキュリティチェックのサイクルの高速化も求められています。
💥 「ペンテスト」はなぜ必要か?
従来のセキュリティチェックには大きく2つの手法があります。
- DAST (Dynamic Application Security Testing)
- ツールによるパターンマッチングが基本。
- 効率的だが、複雑なビジネスロジックの検証は困難。
- ペンテスト
- 専門家が「攻撃者視点」で実際に侵入・攻撃を試みる手法。
- 忠実度は高いが、「高コスト」「時間がかかる」「専門家の勘所に依存する」といった課題がある。
我々は AI エージェントでペンテストを全自動化することにより、 DAST の「効率性」とペンテストの「実効性」を両立させた、次世代のペンテストシステムを目指しています。
📈 成果
AI ペンテスターの性能評価には、PortSwigger Academy のラボを利用しています。 プロジェクト開始から開発を進め、現在 (本稿執筆時点) で 65% に到達しました。
🛠 アーキテクチャ
我々の AI は、単一の巨大な AI ではありません。 複数の専門家 AI Agent が共同する Multi-Agent アーキテクチャを採用しています。
ここには載せきれていませんが、ガードレールやペンテストに特化した memory tool など、様々な工夫を盛り込んでいます。 今後も、本ブログにて技術的な構成要素を紹介していく予定です。
🚀 今後の展望
我々は今後も開発を継続し、並行して事業の本格化を目指します。その第一歩として、実環境での検証(無償 PoC)を進めたく考えております。
つきましては、我々の AI ペンテスターをいち早くご体験いただき、フィードバックを通じて共に製品を磨き上げていただける企業様を募集いたします。 ご興味のある方は、こちら からぜひご連絡いただけますと幸いです。