Asayomu Tech
注目★★★★Hacker News

Cloudflare の暗号ライブラリ CIRCL に 7 つの実バグ、AI 監査で発見・全件修正済み

30秒で把握

  • 1zkSecurity の AI 監査で Cloudflare CIRCL に 7 つの実バグ発見・全件修正済み。浮動小数点精度喪失・DLEQ 偽造・BLS 鍵攻撃・FillBytes 衝突などが対象
  • 2閾値 RSA の多項式評価が float64 で 2^53 超過時に丸め誤り。BLS 聚約署名が同一メッセージ重複時の鍵攻撃に脆弱。セキュリティパラメータが検証側でなく証明側で制御される設計脆弱性も
  • 3AI が候補検出・人間が検証・開示対応するハイブリッド型で深刻度の確認に差。修正コミット (f7d2180 / 757dde4 / 9798df7 等) への更新・依存チェックを推奨

要約

zkSecurity の AI 監査パイプラインが、Cloudflare の実験的暗号ライブラリ CIRCL に対し 7 つの実バグを特定し、すべて上流で修正済みとなった。閾値 RSA の浮動小数点精度喪失から属性ベース暗号の完全アクセス制御破壊まで、深刻度は異なるが、いずれも暗号プロトコルの正確性や安全性を損なうものだった。AI による候補検出を人間が検証・開示対応したハイブリッド型監査で、BLS 聚約署名の鍵攻撃、DLEQ 証明の偽造可能性、多項式評価の丸め誤りなど設計レベルの脆弱性を摘出した。これは zkSecurity が暗号ライブラリ全般で実施する AI 監査実験シリーズの第 1 報であり、LLM が暗号コード推論で得意とする領域と盲点を可視化する。

あなたへの影響

この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。

7日間無料で読む

クレカ不要・いつでも解約

詳細を読む → 元記事へ※ 本文は元記事をご確認ください (asayomu は要約のみ提供)

関連する記事

※ 外部記事の権利は原著作者に帰属します。著作権削除要請は copyright@asayomu.jp までご連絡ください(受領確認 24h・実処理 72h 以内)。