テクノロジー注目度 70

【実録】AI（Claude Code）が「公開レベル」のセキュリティスキャナーを8分で完成させた全記録

※本記事の要約および解説はAIが自動生成しており、誤りが含まれる可能性があります。事実確認は元ニュースをご参照ください。

本記事は、セキュリティ知識やコーディング経験が全くない「素人」が、AIツール「Claude Code」の指示出し（プロンプトエンジニアリング）のみを用いて、高度なオープンソースのセキュリティスキャナー「Mythos Scanner」を開発した全過程を詳細に記録したものです。開発の起点となったのは、単なるStreamlitアプリの段階でしたが、筆者が「公開して使ってもらうレベルにしろ」と指示したことで、Claude Codeが自動的にコードベース全体を分析し、OWASP ZAPやSemgrepといった既存のプロダクションスキャナーと比較してギャップを特定しました。このギャップ分析に基づき、Claude Codeは5つのフェーズに分けた実装計画を生成し、筆者が承認しただけで、3つのエージェント（security-fixes、cwe-cvss-benchmark、cli-sarif-config）が並列で動作しました。その結果、約8分という短時間で、SSRF脆弱性保護、CWE IDマッピング、CLI機能などを含む高度な機能が実装されました。さらに「素人でも使えるように」という指示や「WordPressの検出を自動化しろ」という追加指示により、CMS検出モジュールやサブドメイン探索機能が追加され、最終的に177件のテストを全通過するスキャナーが完成しました。検出項目は、セキュリティヘッダー（HSTS, CSPなど）のチェックに加え、WordPress特有のREST APIによるユーザー情報列挙、XML-RPCの脆弱性、プラグインのバージョン情報露出など、実務的なセキュリティ穴を網羅しています。記事の後半では、WordPressサイトがデフォルト設定のまま抱えがちな「REST APIのユーザー情報公開」「XML-RPCの残存」「プラグインのバージョン情報露出」という3つの重大なセキュリティリスクについて、具体的な対策コード（フィルタやヘッダー設定）とともに解説しています。この事例は、AIが単なるコード生成に留まらず、設計、検証、改善、そして実用的なセキュリティツール開発全体を担える可能性を示しています。

背景

近年、AIによるソフトウェア開発の可能性が注目されています。本記事は、専門知識を持たない一般ユーザーが、大規模なセキュリティツールをAIの指示出しだけで開発したという具体的な事例を提示しています。これは、AIが単なるアシスタントではなく、設計・検証・実装のプロセス全体を担う「開発エージェント」として機能し始めたことを示す、技術的な転換点を示すニュースです。

重要用語解説

Claude Code: Anthropic社が提供するAIコーディング支援ツール。単なるコード生成に留まらず、コードベース全体を読み込み、既存のセキュリティスキャナーと比較しながら、欠陥や改善点を自動で特定する高度な機能を持つ。
オープンソース（OSS）: ソースコード（プログラムの設計図）を一般に公開し、誰でも閲覧、利用、改変できるソフトウェアのこと。コミュニティの協力によって改善が進むのが特徴。
SSRF脆弱性: Server-Side Request Forgeryの略。サーバー側から意図しない外部リソース（例：内部ネットワークの機密情報）にアクセスさせてしまう脆弱性。セキュリティツール自体にこの脆弱性があることは重大な欠陥である。
影響: AIを活用した開発プロセスが劇的に加速し、専門知識を持たない個人でも高度なプロダクト開発が可能になることを示唆しています。これにより、セキュリティツールやWebサイトの脆弱性対策が、より一般層に普及し、開発の民主化が進むと予想されます。企業はAIを開発プロセスの中核に組み込む必要があります。

Information Sources:

https://qiita.com/daisuke-nagata/items/fd3ef2a9bd42b8f9d741