$5のプロンプトで$2,418の脆弱性を2つ見つけてみた。
こんにちは、ユン・ソクチャンです。
主にウェブハッキングをしていて、現在は Zellic というアメリカ拠点のブロックチェーンセキュリティ企業で働いています。さらに、Apache 財団の Airflow プロジェクトのセキュリティチームのメンバーでもあります。
下手な日本語ですが、AI に助けてもらって書きました。まだまだですが、よろしくお願いします。
二ヶ月前、私のTwitterチャンネルで「5ドルでreportableなバグを2つ見つけた」と-ツイートしました。結論から言うと、LLMを使って発見し、Django Security Teamに報告したバグは合計6件あり、そのうち2件が有効なsecurity issueと判断され、CVEが発行されました。(CVE-2025-64458、CVE-2025-64460)
そして、同じプロンプトを用いて Python ベースの有名な Web フレームワークである FastAPI(正確には Starlette)において CVE-2025-62727 の脆弱性1件を発見し、報告しました。
LLMだけで見つけた初めての脆弱性だったため、こ
