OSS-CRS: Liberating AIxCC Cyber Reasoning Systems for Real-World Open-Source Security

DARPA の AI サイバーチャレンジで開発されたが実用化が難しかった自律型サイバー推論システム（CRS）を、OSS-CRS というオープンソースのローカル展開可能フレームワークに統合・実装し、実世界のオープンソースプロジェクトに対して 10 件の未発見バグ（うち 3 件が重要度大）を発見・修正できることを実証した。

要約

この論文は、**「AI がソフトウェアのバグを見つけ、自分で直すことができるシステム」**を、競争会場の閉じた箱から、誰でも使える「オープンな道具箱」へと変えるための新しい仕組みについて書かれています。

わかりやすくするために、**「天才的な探偵チーム」**の物語に例えて説明しましょう。

1. 背景：天才探偵チームの誕生と問題点

アメリカの政府機関（DARPA）は、**「AI Cyber Challenge（AIxCC）」**という大会を開きました。これは、AI に「ソフトウェアのバグ（欠陥）を見つけ、その上、自分で修正パッチ（修理方案）まで作れ」という超難題を課すものでした。

大会では 7 組のチームが、**「Cyber Reasoning Systems（CRS）」**と呼ばれる、自律的にバグを調査・修正する AI システムを開発して優勝しました。彼らは素晴らしい成果を上げ、大会が終わるとそのコードを公開（オープンソース）しました。

しかし、大きな問題がありました。
これら 7 組のチームが作ったシステムは、**「大会専用の巨大な雲（クラウド）」**にしか動かないように作られていました。

• 例えるなら： 彼らが作ったのは、**「巨大なテーマパーク（大会会場）内だけでしか動かない、複雑な遊具」**のようなものでした。
• 大会が終わってテーマパークが閉鎖されると、その遊具は誰も動かすことができなくなりました。
• さらに、各チームは「バグ発見」「パッチ作成」という作業を、**「一つの巨大な機械（モノリシック）」**として作ってしまい、他のチームの「優れた探偵部分」だけを取り出して組み合わせることができませんでした。

その結果、大会が終わってから半年以上経っても、これらの素晴らしい AI システムは、元のチーム以外の人には**「使えない箱」**のまま放置されていました。

2. 解決策：OSS-CRS（新しい「道具箱」の登場）

この論文の著者たちは、この問題を解決するために**「OSS-CRS」**という新しい仕組みを作りました。

これは、**「どんな探偵チーム（AI システム）でも、自分の家（ローカル環境）で簡単に動かせる、共通の土台」**です。

3 つの大きな壁を壊す

著者たちは、なぜ使えなかったのかを分析し、3 つの壁を壊しました。

1. インフラの重複（同じものを 7 回作っていた）：

   • 例え： 7 人の探偵が、それぞれ「事務所」「電話回線」「書類保管庫」をゼロから作ってしまっていた状態です。
   • 解決： OSS-CRS は、事務所や電話回線、書類保管庫を**「共通の施設」**として用意しました。探偵たちは「バグを見つけること」や「直すこと」だけに集中すれば良くなりました。

2. クラウドへの依存（大会会場に縛られていた）：

   • 例え： 遊具が「テーマパークの電源」がないと動かない状態です。
   • 解決： OSS-CRS は、**「自宅のコンセント（ローカル環境）」**でも動くように改造しました。これで、誰でも自分のパソコンやサーバーで動かせるようになりました。

3. 単一設計（部品がバラせなかった）：

   • 例え： 7 台の機械が、それぞれ「A さんは探偵、B さんは修理屋」という役割が一体化した「巨大なロボット」でした。A さんの「探偵能力」だけを取り出して B さんの「修理能力」と組み合わせることはできませんでした。
   • 解決： OSS-CRS は、**「レゴブロック」**のように、各システムを部品単位で分解・結合できるようにしました。A さんの「探偵能力」と B さんの「修理能力」を組み合わせ、最強のチームを作れるようにしたのです。

3. 実証実験：実際にバグを見つけた！

著者たちは、この新しい仕組みを使って、大会で優勝した最強のチーム「ATLANTIS」を移植（ポーター）しました。

• 実験： 8 つの有名なオープンソースプロジェクト（実際に使われているソフトウェア）に、このシステムを走らせました。
• 結果： **10 個の新しいバグ（ゼロデイ脆弱性）**を発見しました。そのうち 3 つは深刻なレベルでした。
• 意義： これらは、大会の閉じた環境ではなく、**「現実世界のオープンソースプロジェクト」で、「大会の巨大サーバーなし」**で発見されたものです。つまり、この技術は実際に使えることが証明されました。

4. 仕組みのイメージ：どうやって動いているの？

OSS-CRS は、以下のような「3 段階のレシピ」で動きます。

1. 準備（Prepare）： 探偵チーム（AI）の道具箱を用意する。
2. 対象の準備（Build Target）： 修理したい家（ソフトウェア）を準備する。
3. 実行（Run）： 探偵チームを放ち、バグを探し、見つけたら修理して、本当に直ったか確認する。

また、**「LLM（AI）の予算管理」**という機能もあります。

• 例え： AI がバグを探すために「質問」をするたびに、お金（トークン）がかかります。OSS-CRS は**「1 日 50 ドルまで」**という予算を決めておき、それを超えたら自動的に止まるようにします。これで、使いすぎを防ぎつつ、公平に比較できます。

5. まとめ：なぜこれが重要なのか？

この論文は、**「AI がセキュリティを強化する未来」**への第一歩を示しています。

• 以前： 大会で使われた AI は、終わればゴミ箱行き。
• 今： OSS-CRS という「共通の土台」のおかげで、世界中の開発者や研究者が、これらの AI システムを自由に使い、組み合わせ、改良できるようになりました。

**「探偵チームを、閉じた競技場から、世界中の街へ解放した」**というのが、この論文の核心です。これにより、オープンソースソフトウェアのセキュリティは、これまで以上に強固になることが期待されています。

技術概要

OSS-CRS: 実世界のオープンソースセキュリティのための AIxCC サイバー推論システムの解放

論文の技術的サマリー（日本語）

1. 背景と問題定義

DARPA の「AI サイバーチャレンジ（AIxCC）」は、脆弱性の発見だけでなく、自動的な検証（PoV: Proof of Vulnerability）とパッチ生成を行う自律的な「サイバー推論システム（CRS）」の構築を可能にしました。7 つの決勝チームがシステムをオープンソース化しましたが、これらは実世界での利用において大きな障壁に直面しています。

主な課題は以下の 3 点です：

1. インフラの重複構築: 各チームが同じプラットフォームサービス（コンテナオーケストレーション、メッセージキュー、DB など）を独自に再構築しており、リソースの非効率化を招いています。
2. クラウドのロックイン: 全てのシステムが AIxCC 大会で使用された Azure/Kubernetes 環境に依存しており、大会終了後にその環境が削除されたため、ローカルや他のクラウドでは実行不可能です（例：1 位の ATLANTIS は 20 台以上の Azure VM を必要としていました）。
3. モノリシックな設計: 分析技術がシステム全体に埋め込まれており、異なるチームのコンポーネント（例：A チームのファズャーと B チームのパッチャー）を組み合わせたり、個別に評価したりすることができません。

これらの障壁により、研究者は比較実験ができず、セキュリティ実務家は実用的なワークフローを採用できず、コミュニティ全体がこれらの高度な技術の恩恵を受けられていません。

2. 提案手法：OSS-CRS

著者は、これらの障壁を解決し、実世界のオープンソースプロジェクトに対して CRS 技術を運用・組み合わせるためのオープンフレームワーク**「OSS-CRS」**を提案しました。

2.1 アーキテクチャと設計思想

OSS-CRS は CRS 自体ではなく、CRS を開発・実行・構成するためのプラットフォームです。

• 3 フェーズの実行モデル:
  1. Prepare: CRS 固有のコンテナイメージ（分析ツールなど）をビルド。ターゲットに依存しないため、複数プロジェクトで再利用可能。
  2. Build Target: 対象プロジェクトのソースコードをコンパイルし、ファジング用バイナリを生成。
  3. Run: 複数の CRS コンテナを並列実行し、分析キャンペーンを実施。
• libCRS ライブラリ: CRS の分析ロジックと OSS-CRS インフラを繋ぐ Python ライブラリ。ターゲットのダウンロード、PoV/パッチの提出、パッチ検証（ビルド・テスト実行）などの API を提供します。これにより、CRS 開発者はインフラ構築ではなく分析ロジックに集中できます。
• リソース管理と分離:
  • CPU/メモリ: Docker cgroups による厳格な制限と CPU ピンニング。
  • LLM バジェット: 各 CRS にドル単位の予算を割り当て、LiteLLM プロキシ経由でトークン使用量を監視・制限します。これにより、コスト超過を防ぎ、異なるコスト構造を持つ CRS の公平な比較を可能にします。
  • ネットワーク分離: 各 CRS を独立した Docker ネットワークに配置し、ファイルベースのアーティクト交換（Sidecar 経由）のみを許可することで、競合を防ぎます。
• アーティクト交換（Artifact Exchange）: ファイルシステムベースの共有ディレクトリを通じて、ファズャーが見つけたクラッシュ入力（PoV）やパッチ候補を CRS 間で非同期に共有します。直接通信を不要とし、フォールトトレランスを高めています。

2.2 統合プロセス

既存の CRS を OSS-CRS に移植するには、crs.yaml マニフェストの作成と、libCRS への API 呼び出しの適応が必要です。大会特有の API や DinD（Docker-in-Docker）構成を、OSS-CRS の標準的なビルドフローとサイドカーに置き換えることで、ローカル環境での実行が可能になります。

3. 評価と結果

著者は、AIxCC 大会で 1 位を獲得したATLANTISシステムを OSS-CRS に移植し、実世界での有効性を検証しました。

• 実験設定:
  • 対象: OSS-Fuzz に登録されている 8 つのオープンソースプロジェクト（C/C++ および Java、データベース、パース、暗号ライブラリなど）。
  • 環境: 単一マシン（32 コア CPU、128GB RAM、Ubuntu 22.04）。
  • 制約: 各プロジェクトあたり 24 時間、LLM 予算 50 ドル。
• 発見されたバグ:
  • 10 件の未知の脆弱性を発見（そのうち 3 件は高深刻度）。
  • 発見されたバグには、メモリ安全性の問題だけでなく、論理バグや未定義動作（CWE-476, 674, 681 など）も含まれており、単なるクラッシュ発見を超えた能力を示しました。
  • 発見された 10 件中、3 件はすでにアップストリームメンテナによって修正済み、1 件は確認済み、6 件はレビュー待ちです。
• パッチ生成:
  • 発見された脆弱性に対し、LLM を用いて最小限のパッチ（unified diff）を自動生成し、OSS-CRS の検証パイプライン（パッチ適用→再ビルド→PoV 再実行→回帰テスト）で自動検証を行いました。

4. 主な貢献

1. 実証分析: 7 つの AIxCC 決勝 CRS コードベースを分析し、実用化を阻む「インフラ重複」「クラウドロックイン」「モノリシック設計」という 3 つの障壁を特定しました。
2. OSS-CRS フレームワーク: 統一された実行モデル、LLM 予算管理付きのリソース制御、クロス CRS のアーティクト交換機能を提供するオープンソースフレームワークを構築しました。
3. 実世界での検証: 大会優勝システム（ATLANTIS）をローカル環境に移植し、クラウドインフラなしで 10 件のゼロデイ脆弱性を発見・修正する実証を行いました。

5. 意義と今後の展望

OSS-CRS は、AIxCC 大会で得られた高度な CRS 技術を、特定のクラウド環境や単一チームに縛られず、オープンソースコミュニティ全体で共有・再利用・進化させる基盤を提供します。

• 技術の組み合わせ: 異なる CRS の強み（例：A のファズャーと B のパッチャー）を組み合わせた「アンサンブル実行」が可能になり、単一システム以上の性能発揮が期待されます。
• ベンチマーク化: 将来的には、FuzzBench のような CRS 専用のベンチマークスイートを開発し、手法ごとの効果やコスト効率を体系的に評価する基盤となります。
• セキュリティ向上: 脆弱性の発見だけでなく、検証済みのパッチを提供することで、オープンソースメンテナの負担を軽減し、セキュリティ対策の自動化を促進します。

この研究は、AI 駆動のセキュリティツールが「実験室」から「実社会」へ移行するための重要な第一歩であり、OSS-CRS は GitHub で公開されています。