Capital One、AIエージェントによる脆弱性スキャンツール「VulnHunter」をオープンソースで公開
金融大手Capital Oneが、AIエージェントを活用したオープンソースのセキュリティツールを発表。攻撃者の視点でコードの脆弱性を分析し、誤検知を大幅に低減します。
📅 2026年7月18日 13:41
Capital Oneは、Agentic AI(自律型AI)を搭載した新しいオープンソースのセキュリティツール「VulnHunter」を公開しました。
VulnHunterの最大の特徴は、従来の静的解析(SAST)とは異なる「Attacker-First Forward Analysis」という手法を採用している点です。コード全体を闇雲にスキャンするのではなく、APIやネットワークなど攻撃者が侵入可能な箇所を起点とし、そこから実際に攻撃が成立する経路をシミュレーションします。これにより、現実的な脅威のみを抽出することが可能です。
また、「Falsification Engine」を備えており、検出した脆弱性が誤検知(False Positive)でないかをAIが再検証します。このプロセスにより、従来のツールで課題となっていた不要なアラートを削減し、修正のための的確なアドバイスを提供します。
VulnHunterはClaude Opusなどの大規模言語モデル(LLM)と連携して動作します。Capital Oneは、このツールをGitHubで公開することで、コミュニティと協力しながら開発を加速させ、ソフトウェア開発のセキュリティ水準向上を目指すとしています。
Why it matters
従来のパターンマッチング型から、AIによる攻撃シミュレーション型への転換を示すツールです。オープンソースとして提供されることで、あらゆる規模の組織がエンタープライズレベルのセキュリティ診断を無償で導入可能になります。
従来のパターンマッチング型から、AIによる攻撃シミュレーション型への転換を示すツールです。オープンソースとして提供されることで、あらゆる規模の組織がエンタープライズレベルのセキュリティ診断を無償で導入可能になります。
Sources (rewritten & summarized from): Hacker News · capitalone.com · venturebeat.com · github.com · github.com · capitalone.com