The Verge AI·2026年4月29日 19:04·約3分

GitHub が重大な脆弱性を 6 時間未満で修正

TL;DR

Wiz Research が AI モデルを活用して GitHub の内部基盤で発見した重大なリモートコード実行脆弱性に対し、GitHub セキュリティチームは 6 時間未満という驚異的な速度で対応し、数百万リポジトリの保護に成功しました。

AI深層分析2026年4月29日 20:03

重要/ 5段階

深度40%

キーポイント

AI による脆弱性の発見

セキュリティベンチャー Wiz Research が AI モデルを活用することで、GitHub の内部 Git インフラストラクチャにおける重大なリモートコード実行（RCE）脆弱性を特定しました。

6 時間未満の緊急対応

バグ報奨金報告を受けた後、GitHub のセキュリティチームは即座に検証を開始し、攻撃者に悪用される前に 6 時間未満で脆弱性を修正しました。

大規模なリスクの回避

この脆弱性が放置されていた場合、数百万件の公開および非公開コードリポジトリへの不正アクセスが可能となる極めて深刻な状況でした。

影響分析・編集コメントを表示

影響分析

このニュースは、AI がセキュリティ防御において単なる補助ツールではなく、高度な脆弱性発見の主体として機能しうることを示す決定的な事例です。同時に、GitHub のような基盤的なプラットフォームが直面するリスクの深刻さと、組織的な緊急対応能力の重要性を浮き彫りにしています。

編集コメント

AI が攻撃側だけでなく、防御側（脆弱性発見）においても決定的な役割を果たす事例として注目すべきニュースです。特にインフラレベルのリスクを AI が特定した点は、今後のセキュリティ運用のパラダイムシフトを示唆しています。

GitHub の従業員は先月、6 時間未満のうちに重大なリモートコード実行脆弱性を修正しました。Wiz Research は AI モデルを使用して、GitHub の内部 Git インフラストラクチャー（注：Git 基盤）に存在する脆弱性を発見し、これにより攻撃者が数百万の公開および非公開コードリポジトリにアクセスできる可能性がありました。

「セキュリティチームはすぐにバグ報奨金レポートの検証を開始しました。40 分以内に内部で脆弱性を再現し、その重大性を確認できました」と、GitHub のチーフインフォメーションセキュリティオフィサーであるアレクシス・ウェールズ氏は説明しています。「これは即座の対応を要する重大な問題でした」。

GitHub のエンジニアリングチームは修正プログラムを開発し、根本原因を特定してから 1 時間強でデプロイし、GitHub.com と GitHub Enterprise Server（注：GitHub エンタープライズサーバー）の両方を保護しました。「発見から 2 時間未満で検証を完了し、github.com に修正プログラムを適用するとともに、悪用はなかったと結論付けた法医学的調査を開始しました」とウェールズ氏は述べています。これにより、Wiz からの報告から 6 時間以内に問題が解決されたことになります。

脆弱性自体は、Wiz によると「AI を用いて発見された」ものです。ただし、どの AI モデルがこの問題の特定に貢献したのかについては明確ではありません。「特筆すべきは、これは閉じたソースのバイナリにおいて AI で発見された最初の重要な脆弱性の一つであり、これらの欠陥がどのようにして特定されるかという転換点を示している」と、Wiz のセキュリティ研究者である Sagi Tzadik は述べています。

GitHub の迅速な対応により修正プログラムは数時間で展開されましたが、Wiz は警告しています。この稀な脆弱性は「極めて容易に悪用可能」でありながら、GitHub の基盤となるシステムの複雑さを考慮すると驚くべきことです。「このような規模と深刻度を持つ発見は稀であり、当社の Bug Bounty プログラムで利用可能な最高レベルの報酬の一つを獲得するものであり、最も影響力のあるセキュリティ研究は、適切な質問をできる熟練した研究者から生まれることを思い出させるものである」と Wales は述べています。

GitHub の重大な脆弱性の発見は、一部のユーザーに対して以前マージされたコミット（コードのスナップショット）をランダムに元に戻すという [大規模な停止事象] (https://www.theverge.com/news/918001/github-major-outage-commits) が発生してから数日後のことでした。GitHub は先週も [他の停止事象] (https://www.githubstatus.com/incidents/myrbk7jvvs6p) を経験しており、これは同サービスにおいてますます傾向として顕著になっています。私は先週、[GitHub の信頼性に関する従業員の懸念] (https://www.theverge.com/tech/917361/microsoft-executive-departures-notepad) について報告し、ある GitHub 従業員が「会社は崩壊している。非常に深刻な停止事象で会社の評判を失墜させただけでなく、リーダーシップ層の流出も起きている」と述べている点を強調しました。

この記事のトピックや著者をフォローして、パーソナライズされたホームページフィードで類似の記事をもっと見たり、メール更新を受け取ったりしてください。

Tom Warren

原文を表示

GitHub employees fixed a critical remote code execution vulnerability in less than six hours last month. Wiz Research used AI models to uncover a vulnerability in GitHub’s internal git infrastructure that could have allowed attackers to access millions of public and private code repositories.

“Our security team immediately began validating the bug bounty report. Within 40 minutes, we had reproduced the vulnerability internally and confirmed the severity,” explains Alexis Wales, GitHub chief information security officer. “This was a critical issue that required immediate action.”

GitHub’s engineering team developed a fix and deployed it just over an hour after identifying the root cause, protecting both GitHub.com and GitHub Enterprise Server. “In less than two hours we had validated the finding, deployed a fix to github.com, and begun a forensic investigation that concluded there was no exploitation,” says Wales. This meant the issue was fixed within six hours of the report from Wiz.

The vulnerability itself was discovered “using AI,” according to Wiz. It’s not clear exactly what AI model helped find the issue, though. “Notably, this is one of the first critical vulnerabilities discovered in closed-source binaries using AI, highlighting a shift in how these flaws are identified,” says Sagi Tzadik, a security researcher at Wiz.

While GitHub’s rapid response meant a fix was deployed in just hours, Wiz warns that the rare vulnerability was “remarkably easy to exploit,” despite how complex GitHub’s underlying system is. “A finding of this caliber and severity is rare, earning one of the highest rewards available in our Bug Bounty program, and serves as a reminder that the most impactful security research comes from skilled researchers who know how to ask the right questions,” says Wales.

The discovery of a major vulnerability in GitHub comes just days after GitHub had a major outage that randomly reverted previously merged commits (code snapshots) for some users. GitHub also had other outages last week, in what’s increasingly becoming a trend for the service. I reported last week on employee concerns about GitHub reliability, highlighting one GitHub employee who says “the company is collapsing, both in outages that are reallllly bad and have torched the company reputation… and in an exodus of leadership.”

Follow topics and authors from this story to see more like this in your personalized homepage feed and to receive email updates.