2026-01-07 の一覧へ戻るホーム
**実世界のペネトレーションテストにおけるAIエージェントとサイバーセキュリティ専門家の比較** | 観点 | AI エージェント | 人間のサイバーセキュリティ専門家 | |------|-----------------|----------------------------------| | **準備・偵察** | 広範囲な攻撃対象を迅速にスキャンし、公開情報を自動で集約。 | 手作業で偵察を行い、特定のターゲットや状況に合わせてクエリをカスタマイズ。 | | **脆弱性検出** | パターンマッチングアルゴリズムで既知の CVE や誤設定を大量にフラグ付け。 | 深い技術知識を駆使し、ゼロデイやあまり知られていない欠陥を発見。 | | **エクスプロイト開発・実行** | 基本的なペイロードを生成し、SQLi や XSS などの一般的脆弱性を自動で悪用可能。 | 高度にカスタマイズされたエクスプロイトを設計し、リアルタイムのシステム応答に応じて戦術を変更。 | | **分析・報告** | 構造化ログと初期所見を生成。ただし文脈解釈は限定的。 | 微妙な脅威評価を提供し、リスク優先順位付けや是正策の推奨を行う。 | | **新規脅威への適応** | 訓練データに依存し、完全に新しい攻撃ベクトルには再訓練が必要。 | 新興脅威から継続的に学び、創造的な問題解決を実践。 | | **コンプライアンス・倫理** | 事前定義されたルールセット内で動作し、法的・倫理的ニュアンスを見落とすことがある。 | NIST や ISO などの業界基準に従い、関係者の同意とデータプライバシーを確保。 | | **速度対深さ** | 数千件のスキャンを数秒で実行。ただしアルゴリズム範囲によって深さは限定的。 | ターゲットごとに時間がかかるが、より深い洞察と文脈を得られる。 | | **コスト・資源効率** | 開発後の限界費用は低く、多数のクライアントへスケール可能。 | 熟練した人材と時間が必要で、運用コストは高い。 | ### 主要ポイント - **AI エージェントは大規模偵察、迅速な脆弱性検出、および一貫した基礎報告に優れる。** - **人間の専門家は創造性、文脈判断、倫理監視、および複雑または新規セキュリティ課題に必要な高度技術を提供する。** 実務では、最も効果的なペネトレーションテストは両者の組み合わせです。AI ツールが大量スキャンとデータ集約を担当し、経験豊富なアナリストが結果を解釈・カスタマイズしたエクスプロイト設計や実践的推奨事項を提供します。

2026/01/07 6:23

**実世界のペネトレーションテストにおけるAIエージェントとサイバーセキュリティ専門家の比較** | 観点 | AI エージェント | 人間のサイバーセキュリティ専門家 | |------|-----------------|----------------------------------| | **準備・偵察** | 広範囲な攻撃対象を迅速にスキャンし、公開情報を自動で集約。 | 手作業で偵察を行い、特定のターゲットや状況に合わせてクエリをカスタマイズ。 | | **脆弱性検出** | パターンマッチングアルゴリズムで既知の CVE や誤設定を大量にフラグ付け。 | 深い技術知識を駆使し、ゼロデイやあまり知られていない欠陥を発見。 | | **エクスプロイト開発・実行** | 基本的なペイロードを生成し、SQLi や XSS などの一般的脆弱性を自動で悪用可能。 | 高度にカスタマイズされたエクスプロイトを設計し、リアルタイムのシステム応答に応じて戦術を変更。 | | **分析・報告** | 構造化ログと初期所見を生成。ただし文脈解釈は限定的。 | 微妙な脅威評価を提供し、リスク優先順位付けや是正策の推奨を行う。 | | **新規脅威への適応** | 訓練データに依存し、完全に新しい攻撃ベクトルには再訓練が必要。 | 新興脅威から継続的に学び、創造的な問題解決を実践。 | | **コンプライアンス・倫理** | 事前定義されたルールセット内で動作し、法的・倫理的ニュアンスを見落とすことがある。 | NIST や ISO などの業界基準に従い、関係者の同意とデータプライバシーを確保。 | | **速度対深さ** | 数千件のスキャンを数秒で実行。ただしアルゴリズム範囲によって深さは限定的。 | ターゲットごとに時間がかかるが、より深い洞察と文脈を得られる。 | | **コスト・資源効率** | 開発後の限界費用は低く、多数のクライアントへスケール可能。 | 熟練した人材と時間が必要で、運用コストは高い。 | ### 主要ポイント - **AI エージェントは大規模偵察、迅速な脆弱性検出、および一貫した基礎報告に優れる。** - **人間の専門家は創造性、文脈判断、倫理監視、および複雑または新規セキュリティ課題に必要な高度技術を提供する。** 実務では、最も効果的なペネトレーションテストは両者の組み合わせです。AI ツールが大量スキャンとデータ集約を担当し、経験豊富なアナリストが結果を解釈・カスタマイズしたエクスプロイト設計や実践的推奨事項を提供します。

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

(翻訳されたテキスト)

Text to translate

  ## Summary  
  ARTEMIS, a multi‑agent AI framework that uses dynamic prompt generation, arbitrary sub‑agents and automatic vulnerability triaging, was evaluated against ten human cybersecurity professionals and six existing AI agents on a university network of roughly 8 000 hosts across 12 subnets. In this benchmark it placed second overall, discovering nine valid vulnerabilities with an 82 % valid submission rate—outperforming nine of the ten humans in discovery metrics. Existing scaffolds such as Codex and CyAgent performed worse than most human participants. The study was authored by Justin W. Lin, Eliot Krzysztof Jones, Donovan Julian Jasper, Ethan Jun‑shen Ho, Anna Wu, Arnold Tianyi Yang, Neil Perry, Andy Zou, Matt Fredrikson, J. Zico Kolter, Percy Liang, Dan Boneh, and Daniel E. Ho, and was submitted on Wed, 10 Dec 2025 at 18:12:29 UTC. AI agents like ARTEMIS could reduce penetration‑testing costs from about $60 per hour for experts to roughly $18 per hour while expanding coverage, but higher false‑positive rates and difficulties handling GUI‑based tasks remain challenges that will drive future research in cybersecurity.

本文

著者: Justin W. Lin、Eliot Krzysztof Jones、Donovan Julian Jasper、Ethan Jun‑shen Ho、Anna Wu、Arnold Tianyi Yang、Neil Perry、Andy Zou、Matt Fredrikson、J. Zico Kolter、Percy Liang、Dan Boneh、Daniel E. Ho

要旨:
本研究では、ライブな企業環境においてAIエージェントと人間のサイバーセキュリティ専門家を対照的に評価した初めての包括的調査を報告します。10名のサイバーセキュリティ専門家と6つの既存AIエージェント、さらに新規開発したアーキテクチャ「ARTEMIS」を、約8,000台のホストからなる12個のサブネットにわたる大学ネットワークで評価しました。ARTEMISは、動的プロンプト生成・任意サブエージェント設計・自動脆弱性トリアージ機能を備えたマルチエージェントフレームワークです。本比較研究において、ARTEMISは総合順位で2位に入ることができ、9件の有効脆弱性を発見し、82 % の有効提出率を達成。10名中9名の人間参加者を上回りました。一方、CodexやCyAgentといった既存スキャフォールドは多くの場合、人間参加者より劣る結果となりましたが、ARTEMISは技術的洗練度と提出品質において最も優秀な参加者と同等の性能を示しました。AIエージェントは体系的な列挙・並列活用・コスト面で有利であり、特定のARTEMISバリアントは1時間あたり18 ドルで動作し、プロフェッショナルペネトレーションテスターは60 ドル/時となっています。なお、AIエージェントには高い誤検知率とGUIベースタスクへの苦戦という主要な課題が残ります。

提出履歴
From: Justin Lin [メールを見る] [v1] Wed, 10 Dec 2025 18:12:29 UTC (1,057 KB)

同じ日のほかのニュース

一覧に戻る →

2026/01/01 15:15

**球状ヘビ**

## Japanese Translation: **概要** インターフェースは、矢印キーまたは画面上のボタンでナビゲートし、結果を公開リーダーボードに送信し、そのリーダーボードをページから直接閲覧できるようにします。これらすべての機能は GitHub 上で入手可能なオープンソースコードから構築されているため、開発者は実装を検証・フォーク・拡張することができます。

2026/01/07 6:10

プロバイオティクス摂取後の口腔マイクロバイオームシーケンス研究

## Japanese Translation: > 本研究では、BioGaia の市販オーラルプロバイオティクス「Prodentis」(*Limosilactobacillus reuteri* の2株を含む)が、30日間の自己投与試験中に口腔内で定着できるかどうかを検証しました。事前・治療中・治療後、および停止から1週間後の4つの唾液サンプルを Oxford Nanopore 技術と Plasmidsaurus を用いて解析しました。*L. reuteri* のリードは検出されず、最も近い一致は約91 % の類似度に留まりました。これは定着がなかったか、または検知限界以下のレベルであったことを示唆しています。 > 口腔マイクロバイオームは変化しました:Prodentis を中止した後、*Streptococcus salivarius* が全細菌に対して <2 % から約20 % に上昇しました。同時に *S. mitis* は急激に減少(≈15 % → 1 %)し、総合的な Streptococcus の割合はほぼ一定のままでした。これは *S. salivarius* がニッチを占有して置き換えたことを示唆しています。さらに *Veillonella tobetsuensis* は 2.1 % から 5.7 % に増加し、成長する *S. salivarius* が生成する乳酸に支えられた可能性があります。いずれのサンプルにも赤複合体(P. gingivalis, T. forsythia, T. denticola)は検出されませんでした。 > シーケンス解析は便利で費用対効果が高く、4サンプルに対して総額 240 ドルで済みました。高品質な ONT リード(中央値 Q 23、約1,500 nt)が得られました。この結果は口腔プロバイオティクスの定着検出の難しさを浮き彫りにし、短期間でも製品がマイクロバイオームを再構築できることを示しています。Prodentis は風味が良く、一時的な口腔健康効果を提供する可能性がありますが、本実験ではプロバイオティクス株の定着は検出されませんでした。将来的には、より高用量や代替投与システムを試し、定着と長期的影響を評価する研究が期待されます。

2026/01/07 5:24

**ハッカー全員へ:お金の仕組み(2024)**

## Japanese Translation: --- ## Summary 記事「Calling All Hackers」は、cts(別名 gf_256)が *Phrack* Volume 0x10、Issue 0x47、Phile #0x11 of 0x11 に掲載したもので、ハッカーが自らの技術スキルを持続可能なビジネスに転換できると主張しています―ただし、基本的な金融リテラシーを習得し、暗号資産やベンチャーキャピタル界隈で広く蔓延している投機的ハイプを避ける必要があります。 cts は「shitcoin」のポンプ&ダンプ手法と、「Western Way」と呼ばれるものを対比しています。後者は依然としてハイプに頼っていますが、実際の価値創造を主張しています。彼はトークンローンチの仕組みを説明し、取引所、市場メーカー、創業者、ベンチャーキャピタル(SAFT契約を含む)の役割を指摘します。同記事は、100×リターンに執着するベンチャーキャピタルを批判し、多くのVCファンドがパワーロウ分布に依存しているため創業者が高リスクな賭けへと押されることを指摘しています。 株主、従業員、顧客、コミュニティ間の緊張について語り、株主価値がしばしば他のステークホルダーを犠牲にして優先されると主張します。この短期的な焦点はレイオフや製品品質の低下、「カルトリーダー」CEO の登場につながり、持続可能なモデルよりもハイプによって推進されるケースがあると述べています。 ハッカーへの実務上の示唆としては、以下があります:プライベートでしっかり統治された企業を構築すること、責任を持って資金調達を行うこと、長期的なビジョンを維持すること、そして評価額の膨張などの虚栄心に駆られた指標を避けること。記事は Airbnb Class A株のSEC提出資料、Moxie Marlinspike のブログ投稿、Twitter スレッドなど具体的なソースを引用し、エクイティ構造とVC行動を示しています。 cts はハッカーコミュニティ(CTFチーム、Phrack スタッフ、Zellic メンバー)に感謝し、将来のテクノロジー生態系を形作りたいハッカーには、体系的な経済と金融を理解することが不可欠であると強調しています。付録では、IB、PE、HF、VC などの金融用語をハッカー向けに風刺的に定義したリストをユーモラスに掲載しています。 主旨は:ハッカーが金融リテラシーと持続可能なビジネス慣行を受け入れれば、よりレジリエントなテックエコシステムを構築し、VC の期待を真の価値創造へシフトさせ、エクイティ・ガバナンス・ステークホルダーのバランスに関する業界全体の規範に影響を与えることができるという点です。

**実世界のペネトレーションテストにおけるAIエージェントとサイバーセキュリティ専門家の比較** | 観点 | AI エージェント | 人間のサイバーセキュリティ専門家 | |------|-----------------|----------------------------------| | **準備・偵察** | 広範囲な攻撃対象を迅速にスキャンし、公開情報を自動で集約。 | 手作業で偵察を行い、特定のターゲットや状況に合わせてクエリをカスタマイズ。 | | **脆弱性検出** | パターンマッチングアルゴリズムで既知の CVE や誤設定を大量にフラグ付け。 | 深い技術知識を駆使し、ゼロデイやあまり知られていない欠陥を発見。 | | **エクスプロイト開発・実行** | 基本的なペイロードを生成し、SQLi や XSS などの一般的脆弱性を自動で悪用可能。 | 高度にカスタマイズされたエクスプロイトを設計し、リアルタイムのシステム応答に応じて戦術を変更。 | | **分析・報告** | 構造化ログと初期所見を生成。ただし文脈解釈は限定的。 | 微妙な脅威評価を提供し、リスク優先順位付けや是正策の推奨を行う。 | | **新規脅威への適応** | 訓練データに依存し、完全に新しい攻撃ベクトルには再訓練が必要。 | 新興脅威から継続的に学び、創造的な問題解決を実践。 | | **コンプライアンス・倫理** | 事前定義されたルールセット内で動作し、法的・倫理的ニュアンスを見落とすことがある。 | NIST や ISO などの業界基準に従い、関係者の同意とデータプライバシーを確保。 | | **速度対深さ** | 数千件のスキャンを数秒で実行。ただしアルゴリズム範囲によって深さは限定的。 | ターゲットごとに時間がかかるが、より深い洞察と文脈を得られる。 | | **コスト・資源効率** | 開発後の限界費用は低く、多数のクライアントへスケール可能。 | 熟練した人材と時間が必要で、運用コストは高い。 | ### 主要ポイント - **AI エージェントは大規模偵察、迅速な脆弱性検出、および一貫した基礎報告に優れる。** - **人間の専門家は創造性、文脈判断、倫理監視、および複雑または新規セキュリティ課題に必要な高度技術を提供する。** 実務では、最も効果的なペネトレーションテストは両者の組み合わせです。AI ツールが大量スキャンとデータ集約を担当し、経験豊富なアナリストが結果を解釈・カスタマイズしたエクスプロイト設計や実践的推奨事項を提供します。 | そっか~ニュース