Anthropic
ClaudeがApache ActiveMQ 13年潜伏のRCE脆弱性(CVE-2026-34197)の発見を支援 — AI駆動セキュリティ研究の実績
元記事を読む →Summary
セキュリティ企業Horizon3.aiの研究者Naveen Sunkavally氏がClaudeを活用し、Apache ActiveMQ Classicに13年間潜伏していたRCE脆弱性(CVE-2026-34197)を発見。発見プロセスは「80% Claude、20% 人間のラッピング」と説明された。デフォルトのJolokiaアクセスポリシーの不備を突き、認証済みユーザーがSpring XML経由で任意コードを実行可能な脆弱性。ActiveMQ 6.2.3/5.19.4で修正済み。
Key Takeaways
- Horizon3.aiがClaudeを用いて13年間未発見のApache ActiveMQ RCE脆弱性を特定
- JolokiaのMBean `exec`操作とSpring `ResourceXmlApplicationContext`を悪用する攻撃経路
- 発見プロセスの80%をAI(Claude)が担当、人間の役割は結果の整理と検証
- ActiveMQ 6.2.3/5.19.4でパッチ済み、現時点で野生での悪用は未確認
- Project Glasswingと並び、AI駆動セキュリティ研究が実用的な成果を生む事例が蓄積
Best Practice Updates
- AI駆動のセキュリティ研究が具体的CVE発見で実証されており、レガシーコードベースのセキュリティ監査にAIツールの活用を検討すべき
元記事の著作権は各著作者に帰属します。