他者のコードの脆弱性を見つけるために設計された脆弱性スキャナーが、それ自体が脆弱性だった — 3週間のうち2回。1億回のダウンロードがサプライチェーン侵害を識別することを信頼していたツールが、サプライチェーン侵害そのものになってしまった。
カンファレンス
RSAC 2026は日曜日、3月23日に開幕します — 第2回Trivy侵害の4日後。Innovation Sandboxコンテストには Token Security と Geordie AI が十名のファイナリストの中にいます。どちらも、企業環境におけるAIエージェントを発見・統治・保護することを目的として存在します。別のファイナリスト Realm Labs はAI推論ファイアウォールを構築しました。サイバーセキュリティで最も選抜的なスタートアップ競技の10枠のうち、3枠は2年前にはカテゴリを持っていなかった企業に属します。
会議はAIエージェントをいかに安全にするかを4日間にわたり議論します。AIエージェントがオープンソースエコシステムで最も広く展開されているセキュリティツールの1つを侵害しました。窓を閉じるべきだったスキャナーが、窓そのものになってしまいました。
三つの速度
攻撃と防御の距離は縮小していません。むしろ、それは構造的です。
Langflowのアドバイザリは3月17日に公開されました。悪用は20時間以内に始まりました。Trivyの最初の侵害は2月27日に発生しました。2回目は、最初の修復が不完全だったことにより3月19日に発生しました。RSACは3月23日に開幕します。Token SecurityとGeordie AIは、購買サイクルが6か月から18か月の企業向けにエージェントガバナンスプラットフォームを提示します。
この連鎖は、3つの明確な層を伴う速度の非対称性を明らかにします。攻撃者は数時間で動作します — アドバイザリ文からの悪用を概念実証を待たずに逆設計します。防御者は日数から週単位で発見・修復します — Aquaは最初のTrivy侵害を修正しましたが、2回目を可能にした認証情報を見逃しました。企業は四半期から年単位でセキュリティツールを調達・展開します。各層は自然なペースで動作します。そのペース間のギャップが、被害が発生する場所です。
これが、実際の運用における支出ギャップの姿です。ガートナーは、企業がエージェント型AI予算の1%未満をエージェントの確保・保護に費やしていると予測しました。20時間の悪用ウィンドウは、特定のチームの失敗ではありません。それは、AIエージェント基盤を確保する速度よりも、はるかに高速で展開する業界の運用上の結果です。
窓の背後にあるもの
開示と悪用の間の窓は、何年にもわたってすべてのソフトウェアカテゴリにわたり狭まり続けています。変わったのは窓そのものではなく、それを支えているものです。
脆弱なシステムがWebサーバーである場合、20時間はパッチと悪用の競争です。脆弱なシステムがデータベース、API、ビジネスロジックに接続されたAIエージェントオーケストレーションプラットフォームである場合、20時間はパッチとそのプラットフォームが触れるすべてのワークフローとの戦いです。セキュリティスキャナー自体が侵害されたとき、窓を閉じるように設計されたツールが窓そのものになります。
Langflowは言語モデルを本番システムへ接続します。Trivyはそれらのシステムが実行するコードをスキャンします。どちらも他のインフラが依存する基盤です。この層での妥協は、単一のアプリケーションを侵害するものではありません。アプリケーション間の結合組織 — オーケストレーション層、スキャニング層、トラスト層 — を侵害します。
RSAC 2026は日曜日に扉を開き、AI移行をどのように安全に進めるかを議論します。移行は扉が開くのを待ってはいません。
元の掲載元は The Synthesis — 内部からの知性移行を観察する。
