MetaがAIセキュリティの精鋭「Virtue AI」を買収、自律型ランサムウェアの脅威が現実化するなかでの思惑
2026年7月12日 15:21
MetaがAIセキュリティの新興企業Virtue AIの創業メンバーらを「アクハイア(人材買収)」したことが明らかになった。この買収とほぼ同じタイミングで、人間の介入なしにランサムウェア攻撃を完結させる自律型AIエージェントの存在が初めて実証されている。MetaのLlamaモデルを採用する企業にとって、この動きはセキュリティ強化の好機であると同時に、独立した検証機関の喪失という構造的な課題を突きつけている。
■Virtue AIの実績とMetaによる人材買収の背景
2026年6月25日、マッカーサー賞の受賞者であり、コンピュータセキュリティ分野で最も引用数の多い研究者の一人であるカリフォルニア大学バークレー校のドーン・ソング(Dawn Song)教授(19年間在籍)が、Meta Superintelligence LabsのAI研究担当バイスプレジデントに就任することをX(旧Twitter)で発表した。彼女は、エンタープライズ向けAIセキュリティのスタートアップであるVirtue AIの共同創業者4人のうち3人と、同社のチームメンバーを引き連れてMetaに移籍した。
Virtue AIは2024年、ソング氏のほか、ボー・リー(Bo Li)CEO、サンミ・コエホ(Sanmi Koyejo)CAIO(最高AI責任者)、カルロス・ゲストリン(Carlos Guestrin)氏の4人の学者によって設立された。同社は、Lightspeed Venture PartnersやWalden Catalyst Venturesが共同主導したシードおよびシリーズAラウンドで3000万ドル(約48億6000万円、1ドル=162円換算)を調達していたが、今回の人材買収(アクハイア)により、その指導陣がMetaへと移ることになった。
同社の主力製品は、本番環境のAIエージェント特有の不具合に対処するものだった。従来のソフトウェアバグとは異なり、AIエージェントは確率的に失敗する。文脈の誤読、不適切なツール呼び出しの実行、あるいは読み込ませたコンテンツに注入されたプロンプト(プロンプトインジェクション)による操作などがその例だ。標準的な定期的テストでは、入力やタイミングによって挙動が変わるこれらの失敗モードを検出できない。
Virtue AIの「VirtueRed」プラットフォームは、継続的かつ自動化されたレッドチーム演習(擬似攻撃による脆弱性診断)を提供していた。これは四半期ごとの評価にとどまらず、100以上の独自攻撃アルゴリズムと600以上の異なる攻撃ベクトルを用いて、テキスト、画像、音声、動画、コードにわたる1000以上のリスクカテゴリを継続的に調査するものだ。また、「VirtueGuard」は10ミリ秒未満の低遅延でエージェントの入出力をリアルタイムにスクリーニングし、応答速度を落とさずにインラインでのポリシー適用を可能にしていた。さらに「AgentSuite」は、MCP(Model Context Protocol)サーバー接続の検証やツール呼び出しの挙動確認など、エージェントのライフサイクル全体をカバーしていた。
同社の顧客リストには、Anthropic、NVIDIA、Uber、Glean、Microsoft、Intelなどが名を連ねており、その技術の信頼性を裏付けていた。特にAnthropicは、自社モデルの敵対的評価のためにVirtue AIに費用を支払っていた。また、VirtueGuardはGoogle CloudのVertex AIマーケットプレイスを通じてマネージドサービスとしても提供されていた。
■脅威の現実化:自律型ランサムウェア「JADEPUFFER」の衝撃
Virtue AIの移籍発表からわずか1週間後の7月1日、クラウドセキュリティ企業のSysdigは、人間のオペレーターを一切介さずに、大規模言語モデル(LLM)が単独でランサムウェア攻撃を完結させた初の実証事例を公開した。この攻撃主体は「JADEPUFFER」と名付けられている。
Sysdigの脅威研究チームの報告によると、このAIエージェントは、LLM駆動型ワークフローの構築に広く使われているオープンソースフレームワーク「Langflow」の未認証リモートコード実行の脆弱性(CVE-2025-3248)を悪用して初期侵入を達成した。この脆弱性は、2025年5月初旬に米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(CISA)によって、実際に悪用が確認されているものとして警告されていた。
侵入後、エージェントは認証情報を収集し、MySQLデータベースとAlibabaのNacos構成サービスが動作する別の本番サーバーへと横展開(ラテラルムーブメント)した。そして、2021年の認証バイパスの脆弱性(CVE-2021-29441)を悪用してバックドアとなる管理者アカウントを注入し、1342個のNacosサービス構成項目をすべて暗号化した上で、元のデータを削除して身代金要求状(ランサムノート)を残した。暗号化に用いられたAESキーはランダムに生成され、保存されなかったため、被害者は身代金を支払ってもデータを復旧できない仕組みになっていた。
この攻撃で重要なのは、個々の技術の高度さではない。それらはすべて既知の手法だった。Sysdigが実証したのは、AIエージェントがこれらの手順を自律的に組み合わせ、失敗時に適応し、人間の指示なしに侵入プロセスを維持した点にある。例えば、Nacosへのログイン試行が失敗した際、エージェントは「サブプロセスのPATH問題によりbcryptが有効なパスワードハッシュを生成できていない」という根本原因を自己診断した。そして、ライブラリの直接インポートに切り替え、わずか31秒で修正したペイロードを再展開した。人間が同じエラーを診断して修正する場合、これよりも大幅に時間がかかる。
Sysdigの脅威研究ディレクターであるマイケル・クラーク氏は、「ランサムウェアを実行するための技術的ハードルは、エージェントを動かすコストにまで低下した。もしそのエージェントが、盗まれた認証情報(LLMjacking)を使って動作しているなら、攻撃者のコストはほぼゼロになる」と指摘している。
■人材買収が意味する構造的変化
Metaは今回の取引を、企業や製品ラインを吸収せず、人材のみを獲得する「アクハイア」として構成した。Virtue AIの共同創業者4人のうち3人が移籍し、ソング氏とリー氏はMeta Superintelligence LabsでAI製品を率いるナット・フリードマン(Nat Friedman)氏の部下となった。コエホ氏は、Metaの基礎AI研究ラボ(FAIR)の責任者であるロブ・ファーガス(Rob Fergus)氏の配下に入った。なお、スタンフォード大学の教授でありVirtue AIの共同創業者兼チーフサイエンティストであったカルロス・ゲストリン氏はMetaに参画しておらず、その理由は公表されていない。米メディアAxiosの2026年6月25日の報道によると、この契約の金銭的条件は開示されていない。
この分割された報告体制には重要な意味がある。ソング氏とリー氏を、コンプライアンスやポリシー部門ではなく、Metaの最先端モデルを構築・展開する「Superintelligence Labs」に配置したことは、Metaがモデルの開発パイプライン自体に敵対的評価を統合する意図を示している。また、コエホ氏をFAIRに配置することで、製品開発と基礎研究の両部門がエージェントセキュリティの専門知識に直接アクセスできるようになる。Metaの内部メモには、「数十億の人々にAI製品を提供し、より有能なエージェントを構築するなかで、システムの安全性、信頼性、信頼性を維持することは極めて基礎的なことである」と、その理由が率直に記されている。
この取引は、MetaのSuperintelligence Labsにとって今年2回目のチーム買収となる。同部門は2026年3月にも、エージェント構築スタートアップであるDreamerの創業者らを獲得している。
■「第三者による独立した評価」の重要性と喪失の懸念
敵対的評価(レッドチーム演習)の信頼性は、「評価者が評価結果に対して利害関係を持たない」という構造的な担保から生まれる。この独立性は、組織の内部から与えることは困難である。市民社会組織の連合体であるAda Lovelace Instituteは、2023年のAI Safety Summitにおいて、「企業が自ら宿題を作成し、自分で採点することを許してはならない。AI政策に影響を与えることを目的とした研究活動は、業界の影響力から明確に独立して行われなければならない」という原則を表明している。
Virtue AIの買収は、まさにこの構造的緊張を浮き彫りにしている。同社のレッドチームツール開発チームが、複数の最先端AIラボにサービスを提供する独立企業として活動していたときは、モデルの脆弱性に関する知見がすべてのクライアントに共有され得た。例えば、Llamaモデルが特定の攻撃手法に対して脆弱であるという重大な発見は、Llamaを導入している企業向けのVirtueRedレポートを通じて表面化する可能性があった。しかし、その経路は失われ、発見された知見はまずMetaの内部へと流れることになる。
Meta自身、買収前にこの問題の予兆を経験している。2026年3月、Metaの社内AIエージェントで「重要度1(Severity 1)」のセキュリティインシデントが発生した。エンジニアが社内の開発者フォーラム用エージェントに技術的な質問をした際、エージェントが回答を非公開ではなく公開設定で投稿してしまった。別の社員がその誤ったアドバイスに従って行動した結果、約2時間にわたり、適切な権限を持たない従業員が機密性の高い会社データやユーザーデータにアクセスできる状態になった。Metaは外部への不正流出はなかったと発表したが、この事案は、本番環境のエージェントシステムが、開発元である企業内部であっても、Virtue AIが提供していたような独立した敵対的テストを必要とする形で失敗し得ることを示している。
ソング氏は移籍の理由について、外部の研究者がアクセスできるかどうかにかかわらず、最先端モデルはすでに数十億人に展開されており、開発・展開パイプラインの内部で直接働く方が、外部からの評価よりも大きな影響力を行使できるためだと説明している。この主張が正しいかどうかは、同チームの知見が「Muse Spark」や次世代Llamaベースのエージェントの構築に反映されるか、あるいは単なるコンプライアンス文書や広報活動の材料として消費されるかによって証明されることになる。
■Llamaエコシステムの開発者が失うものと、今取るべき対策
今回の買収が単なる「セキュリティ人材の採用」として片付けられるなかで覆い隠されているのは、Llamaエコシステム全体への影響だ。Virtue AIは単にMetaのベンダーだったわけではない。Llamaベースのエージェントを導入するすべての組織が、Metaの直接の顧客であるかどうかにかかわらず利用できる、エコシステム共通の「第三者セキュリティ評価サービス」として機能していた。
国際AIセーフティレポート(International AI Safety Report)が指摘するように、オープンウェイトモデルの重み(ウェイト)が一度公開されると、それを回収することはできず、強制的なセキュリティアップデートを適用することもできない。そのため、エコシステムのセキュリティは、公開されたモデルに対して機能するサードパーティ製の評価ツールに強く依存することになる。Virtue AIはまさにその分野の専門家だった。Metaがその創業者らを内部に取り込んだことで、専門知識はMeta自身の展開プロセスで活用しやすくなる一方、Llamaを利用する他の開発者にとっては独立したリソースとして利用できなくなった。
現在、Llamaベースのエージェントシステムを運用している組織は、以下の具体的な対策を講じる必要がある。
1. Langflowのインスタンスを、CVE-2025-3248に対処したバージョンに直ちにパッチ適用し、コード実行エンドポイントをインターネットに公開しないこと。
2. Langflow環境に保存されているAPIキーやクラウド認証情報を削除またはローテーション(更新)すること。
3. インターネットに接続されているNacosインスタンスを優先度の高い保護対象とし、デフォルトのトークン署名キーを変更すること。
4. 自動エージェントレッドチーム分野で代替となる競合他社(WitnessAI、Lakera、Mindgard、SplxAIなど)を評価し、セキュリティの隙間を埋めること。
5. モデルの開発元が自社に代わってテストを行っていると仮定せず、第三者による敵対的評価の予算を明示的に確保すること。
EU AI法(EU AI Act)の第15条は、高リスクAIシステムの運用者に対して堅牢性とサイバーセキュリティの実証を求めているが、敵対的テストをモデル開発者から独立した第三者が行うことまでは義務付けていない。この規制のギャップは構造的なものであり、企業は、テスト対象のシステムを構築したチームと利害関係を共有する「内部のレッドチーム」による検証だけで、規制の要件を満たすことができてしまう。
■独立性を担保する代替モデルの存在
独立性に関する懸念に対し、Metaは「分割報告体制」をその回答としている。Virtue AIの創業者らを製品部門(Superintelligence Labs)と基礎研究部門(FAIR)に分散配置することで、セキュリティ機能が単一の事業部門内に取り込まれてしまうダイナミクスを抑制できると主張する。しかし、この配置が、Virtue AIを機能させていた敵対的なマインドセットを維持するのに十分であるかどうかは、今後の実績で判断されるべき実証的な問いであり、構造的に保証されているわけではない。
この分野には、もう一つの対抗モデルが存在する。それは「政府レベルの第三者機関による評価」だ。例えば、英国のAI Safety Instituteは、開発元や商業クライアントから独立した立場で、最先端モデルのレッドチーム評価を実施している。また、2026年6月の米大統領令によって正式化された、最先端モデルに対する米国政府の「リリース前30日間の自主的レビュー枠組み」も、独立したチェック機能を提供し得る。ただし、これはあくまで自主的なものであり、リリース前のモデルのみを対象としているため、すでに本番環境で稼働しているエージェントシステムには対処できない。
JADEPUFFERが証明したのは、AI主導の自律型攻撃において、「理論上可能」と「本番インフラに対して実際に展開される」との間のギャップが完全に解消されたという事実だ。Metaのエージェントを保護する任務を負ったチームは、この脅威カテゴリを2年間にわたり詳細に研究してきた。彼らの知見が、今や一企業の所有物となったことが何を意味するのか、今後の動向が注目される。
■注目ポイントQ&A
●Virtue AIは具体的にどのような製品を開発し、なぜMetaによる買収が注目されているのですか?
Virtue AIは、AIエージェントのストレステスト(脆弱性診断)を自動化する「VirtueRed」や、10ミリ秒未満の低遅延でエージェントの入出力をリアルタイムに監視して安全ルールを適用する「VirtueGuard」などを開発していました。同社はAnthropic、NVIDIA、Uber、Gleanなどの大手企業やAIラボに独立したセキュリティ評価サービスを提供していたため、その知見がMeta一社に囲い込まれることになり注目を集めています。
●自律型ランサムウェア「JADEPUFFER」とは何ですか?AIセキュリティにどのような影響を与えますか?
JADEPUFFERは、人間のオペレーターを一切介さずに、大規模言語モデル(LLM)が単独で実行したランサムウェア攻撃の事例です。既知の脆弱性を悪用してシステムに侵入し、認証情報を収集してデータベースを暗号化する一連のプロセスを自律的に実行しました。これにより、ランサムウェア攻撃を実行する技術的・金銭的ハードルが、AIエージェントを稼働させるコストと同等にまで低下したことを意味します。
●MetaのLlamaモデルを使用してシステムを構築している企業は、どのような影響を受けますか?
これまでLlamaエコシステム全体が利用できた独立したセキュリティ評価リソース(Virtue AI)がMetaの内部に取り込まれたため、第三者の客観的な視点による検証ツールへのアクセスが制限されます。Llamaベースのエージェントを運用する企業は、自社で独立した代替ツール(WitnessAI、Lakera、Mindgard、SplxAIなど)を検討し、セキュリティ予算を確保する必要があります。
●JADEPUFFERが突いた具体的な脆弱性と、開発者が取るべき対策は何ですか?
JADEPUFFERは、インターネットに公開されたLangflowの脆弱性(CVE-2025-3248)や、Nacos構成サービスのデフォルトのトークン署名キー(CVE-2021-29441)などを悪用しました。対策として、Langflowを修正済みバージョンにアップデートすること、環境からAPIキーなどの認証情報を削除すること、Nacosのデフォルト署名キーを変更すること、そして内部構成サービスをインターネットに公開しないことが推奨されます。
元記事: Meta Absorbs AI Security’s Top Red Team as Autonomous Ransomware Arrives