AI を用いた逆解析により GitHub の深刻なバグが発見される
セキュリティ企業 Wiz が AI を活用した逆エンジニアリング手法により、GitHub Enterprise Server の深刻なリモートコード実行脆弱性を発見し、即座に修正された事案について。
キーポイント
高深刻度脆弱性の特定と影響範囲
Wiz が GitHub のバグ報奨金プログラムを通じて報告した CVE-2026-3854 は、リポジトリへのプッシュ権限を持つ攻撃者がリモートコード実行を可能にする CVSS 8.7 の深刻度を持ち、GitHub.com や Enterprise Cloud など全プラットフォームに影響する。
AI を活用した逆エンジニアリング手法
本件は単なるバグ報告ではなく、Wiz が AI ツールを用いてコードを逆解析(Reverse Engineering)し、攻撃経路を特定・検証した点が特筆すべき技術的アプローチである。
即座の対応と被害なし
GitHub は報告から 2 時間以内に脆弱性を検証し、github.com への修正パッチを適用、調査の結果、悪用事例は確認されなかったとしている。
影響分析・編集コメントを表示
影響分析
このニュースは、AI テクノロジーがセキュリティ防御の最前線において、人間の分析能力を超えた速度と深さで脆弱性を発見する実用ツールとして成熟したことを示す重要な事例です。特に「逆エンジニアリング」という高度な技術領域に AI が応用され、サプライチェーン攻撃や内部脅威に対する防御力を強化する可能性を秘めています。
編集コメント
AI が単なる開発支援ツールから、高度なセキュリティ分析や脆弱性発見の主体として機能し始めた象徴的な事例と言えます。
3 分

出典:Klaus Ohlenschlaeger 氏提供(Alamy ストックフォト)
GitHub は昨日、高深刻度(CVSS 8.7)の脆弱性 CVE-2026-3854 を開示しました。これは GitHub Enterprise Server で発見されたもので、リポジトリへのプッシュ権限を持つ攻撃者が遠隔コード実行を達成することを可能にするものです。GitHub は ブログ投稿 において、この脆弱性は github.com、GitHub Enterprise Cloud、データ所在地対応の GitHub Enterprise Cloud、およびエンタープライズ管理ユーザー対応の GitHub Enterprise Cloud にも影響を与えると述べています。
クラウドセキュリティ企業 Wiz は、3 月 4 日に GitHub の バグ報奨金 プログラムを通じてこの脆弱性を報告しました。GitHub によると、発見から 2 時間未満で検証が完了し、github.com への修正が適用されました。さらに調査の結果、悪用は行われていないと結論付けられています。
リモートコード実行バグは通常、注意を喚起する価値がありますが、今回の状況は特に注目すべきです。Wiz はその ブログ記事 で、「これは AI を用いてクローズドソースバイナリで発見された最初の重要な脆弱性の一つであり、これらの欠陥が特定される方法における転換点を示しています」と説明しています。
関連記事:GlassWorm VS Code 拡張機能によるサプライチェーン攻撃の新たな波
CVE-2026-3854 の仕組み
GitHub の Alexis Wales は、同社の開示ブログで次のように述べています。ユーザーがプッシュしたコードは GitHub 内で複数の内部サービスを経由します。リポジトリの種類やプッシュ先の環境といったメタデータは、内部プロトコルを介して各サービス間でやり取りされます。
「この脆弱性は、このメタデータ内でのユーザー提供の git push オプション(push options)の扱い方を利用したものです。push オプションは、クライアントがプッシュ時にサーバーへキー・バリュー文字列を送信できるようにする意図的な機能です」と彼女は記述しています。「しかし、ユーザーが提供する値は、十分なサニタイズ(無害化処理)なしに内部メタデータに取り込まれていました。内部メタデータ形式で使用されている区切り文字が、ユーザー入力にも現れる可能性があるため、攻撃者は追加フィールドを注入し、下流のサービスがそれを信頼できる内部値として解釈するように仕向けることが可能になります」
Wiz は、攻撃者がこれらの値をいくつか連鎖させることで、さまざまな保護や内部制限を回避し、リモートコードを実行できることを実証しました。
GitHub と Wiz の両社は、GitHub Enterprise Server の顧客に対し、修正済みバージョン(3.14.24, 3.15.19, 3.16.15, 3.17.12, 3.18.6 および 3.19.3)へのアップグレードを推奨しています。他の影響を受ける製品とは異なり、Enterprise Server ではパッチ適用にプッシュ権限を持つ認証済みユーザーが必要です。GitHub Enterprise Cloud、エンタープライズ管理ユーザーを備えた GitHub Enterprise Cloud、データ所在地を指定した GitHub Enterprise Cloud、および github.com は既にパッチが適用されており、ユーザーによる介入は不要です。
Wiz のブログ投稿において、セキュリティ研究者の Sagi Tzadik は影響を受けるユーザーに対しアップグレードを促し、公開時点ではインスタンスの 88% が依然として脆弱であると指摘しました。
関連記事:Vercel Employee's AI Tool Access Led to Data Breach
AI Reverse-Engineered Vulnerability Discovery
Tzadik は、Wiz が以前 GitHub Enterprise Server 上で脆弱性の探索を行っていたと記述していますが、「このパイプラインを実行する膨大な量のコンパイル済みブラックボックスバイナリを抽出し監査するには、歴史的に非現実的なほどの時間と人的労力が必要でした」と述べています。
IDA MCP という、バイブス逆アセンブリに使用される AI パワー化されたアシスタントが登場しました。これは Wiz が以前は「コストが高すぎて不可能」とされていたことを可能にし、ブログでは GitHub のコンパイル済みバイナリの迅速な分析、内部プロトコルの再構築、ユーザー入力がサーバーの動作にどのように影響するかを体系的に特定することなどが例示されています。
Tzadik 氏はメールで Dark Reading に対し、Wiz は「2024 年 9 月以来このターゲットを追跡してきたが、逆アセンブリ作業に必要なリソースを正当化できなかった」と述べています。「おそらく数週間、あるいは数ヶ月にわたる専念した時間と集中が必要だったでしょう。AI ツールの助けを借りれば、アイデアから動作するエクスプロイトに至るまで 48 時間未満で完了しました」と彼は語っています。
研究者によると、GitHub のクローズドソース要素も重要であり、歴史的にクローズドソースソフトウェアは最大のセキュリティリスクと最も不明瞭な領域の拠点となってきたからです。「最新の AI モデルが改善されるにつれ、クローズドソースバイナリの逆アセンブリや、CVE 識別子と git コミットハッシュを入力として動作するエクスプロイトを生成することが、以前よりもはるかに容易かつ迅速、低コストになりました」と Tzadik 氏は説明します。「スケーラビリティも要因の一つです。研究者たちは従来一度に限られた数のプロジェクトに取り組んでいましたが、現在では複数のターゲットに対して自動化されたパイプラインを同時に実行することが可能になっています」
関連記事:北朝鮮、ClickFix を使用して macOS ユーザーのデータを標的にする
執筆者について
Senior News Writer, Dark Reading
アレックスはボストン在住の受賞歴のあるライター、ジャーナリスト、ポッドキャストホストです。10 代の頃から独立系ゲーム誌で執筆活動を開始し、2016 年にエマーソン大学を卒業、ジャーナリズム学士号を取得しました。これまでに VentureFizz、Search Security、Nintendo World Report などでの掲載実績があります。余暇には週刊 Nintendo ポッドキャスト「Talk Nintendo Podcast」のホストを務め、以前に自費出版した SF 小説 2 編を含む個人的な執筆プロジェクトにも取り組んでいます。
原文を表示
3 Min Read

Source: Klaus Ohlenschlaeger via Alamy Stock Photo
GitHub yesterday disclosed CVE-2026-3854, a high severity (8.7 CVSS) vulnerability identified in GitHub Enterprise Server that would grant an attacker with push access to a repository to achieve remote code execution. GitHub said in a blog post that the vulnerability also affected github.com, GitHub Enterprise Cloud, GitHub Enterprise Cloud with Data Residency, and GitHub Enterprise Cloud with Enterprise Managed Users.
Cloud security firm Wiz reported the vulnerability March 4 through GitHub's bug bounty program. GitHub said that, in less than two hours, it validated the finding, pushed a fix to github.com, and, after an investigation, concluded no exploitation had taken place.
While a remote code execution bug generally is worth calling attention to, the circumstances here are particularly noteworthy, as Wiz explained in its blog post. It's "one of the first critical vulnerabilities discovered in closed-source binaries using AI, highlighting a shift in how these flaws are identified."
Related:Fresh Wave of GlassWorm VS Code Extensions Slices Through Supply Chain
How CVE-2026-3854 Works
As GitHub's Alexis Wales put it in the company's disclosure blog, user-pushed code in GitHub passes multiple internal services. Metadata, such as repository type and the environment it should be pushed in, is passed between services via an internal protocol.
"The vulnerability leveraged how user-supplied git push options were handled within this metadata. Push options are an intentional feature of git that allow clients to send key-value strings to the server during a push," she wrote. "However, the values provided by the user were incorporated into the internal metadata without sufficient sanitization. Because the internal metadata format used a delimiter character that could also appear in user input, an attacker could inject additional fields that the downstream service would interpret as trusted internal values."
Wiz demonstrated that an attacker could chain several of these values together to bypass various protections and internal limitations to execute remote code.
GitHub and Wiz both advise GitHub Enterprise Server customers to upgrade to a fixed version (3.14.24, 3.15.19, 3.16.15, 3.17.12, 3.18.6 and 3.19.3); contrary to other affected products, Enterprise Server requires an authenticated user with push access to patch. GitHub Enterprise Cloud, GitHub Enterprise Cloud with Enterprise Managed Users, GitHub Enterprise Cloud with Data Residency, and github.com have been patched, and no user intervention is required.
In Wiz's blog post, security researcher Sagi Tzadik urged impacted users to upgrade, noting 88% of instances remained vulnerable at the time of publication.
Related:Vercel Employee's AI Tool Access Led to Data Breach
AI Reverse-Engineered Vulnerability Discovery
Tzadik wrote that Wiz had previously hunted for vulnerabilities on GitHub Enterprise Server, but "extracting and auditing the sheer volume of compiled blackbox binaries that run this pipeline historically required an impractical amount of time and manual effort."
Enter IDA MCP, an AI-powered assistant used for vibe reverse-engineering code. It allowed Wiz to do what was previously "too costly," the blog explained, such as rapidly analyzing GitHub's compiled binaries, reconstructing internal protocols, and systematically identifying where user input could influence server behavior.
In an email, Tzadik tells Dark Reading that Wiz has been "chasing this target since September 2024," but couldn't justify the resources required to do the reverse-engineering work. "It likely would have taken weeks, maybe months, of dedicated time and focus. With the help of AI tools, it took less than 48 hours to go from idea to a working exploit," he says.
The closed source element of GitHub is also important, the researcher says, because closed source software historically has been home to the biggest security risks and the most obscurity. "As the latest AI models have improved, it's become much easier, faster, and cheaper to do things like reverse-engineer closed-source binaries, or produce a working exploit from a CVE identifier and a git commit hash as input," Tzadik explains. "Scale is also a factor — while researchers used to work on a limited set of projects at a given time, these days it is possible to run automated pipelines on multiple targets at once."
Related:North Korea Uses ClickFix to Target macOS Users' Data
About the Author
Senior News Writer, Dark Reading
Alex is an award-winning writer, journalist, and podcast host based in Boston. After cutting his teeth writing for independent gaming publications as a teenager, he graduated from Emerson College in 2016 with a Bachelor of Science in journalism. He has previously been published on VentureFizz, Search Security, Nintendo World Report, and elsewhere. In his spare time, Alex hosts the weekly Nintendo podcast Talk Nintendo Podcast and works on personal writing projects, including two previously self-published science fiction novels.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み