VEXAIoTは2026年7月10日(現地時間)、IoT (Internet of Things) 環境における脆弱性の発見と悪用を自律的に行うマルチエージェントフレームワークとして発表された。大規模言語モデル (LLM) ベースの推論と攻撃ツールを活用し、脆弱性検出と攻撃実行のエージェントを組み合わせる。IoTGoatおよびMetasploitable環境での評価では、OWASP IoT脆弱性に対応する10の攻撃シナリオで、最大100%の攻撃成功率を達成。計260回の実行で95.0%の総合成功率を記録した。
VEXAIoT (Vulnerability EXploitation using AI Agents) は、制約の多いハードウェア、古いファームウェア、安全でない初期設定といった要因により内在的に脆弱なIoTシステムを対象とする。スケーラブルで適応性の高いセキュリティテスト手法の必要性から開発された。
本フレームワークは、大規模言語モデル (LLM) ベースの推論能力と攻撃ツールを統合することで、IoT環境特有の課題に対応する。具体的には、脆弱性検出エージェントと攻撃実行エージェントを連携させ、偵察、攻撃シーケンスの計画、脆弱なIoTサービスに対する悪用を自律的に実行する仕組みとなっている。このエージェントベースのアプローチにより、従来のセキュリティテスト手法では見落とされがちな複雑な攻撃経路の特定と悪用が可能となる。
システムは、IoTGoatおよびMetasploitable環境において、OWASP IoT脆弱性に対応する10の攻撃シナリオで評価された。実験結果によると、ほとんどの攻撃でトークンオーバーヘッドが低く抑えられ、平均実行時間は2分未満で、最大100%の攻撃成功率を示した。全260回の攻撃実行を通じて、VEXAIoTは95.0%の総合成功率を達成。内訳はIoTGoat環境で94.5%、Metasploitable2環境で96.7%であった。これらの結果は、管理された環境におけるIoT脆弱性評価と攻撃的セキュリティワークフローの自動化において、LLM駆動エージェントの潜在的な可能性を示すものと見られる。
参考: arXiv cs.CR (アーカイブ) — 2026年7月11日 02:52 (JST)
原文ハイライト"Autonomous IoT Vulnerability EXploitation using AI Agents"