LLMがファジングハーネスを不要にする — AIセキュリティテスト自動化ユニコーンが生まれた理由

セキュリティ自動化スタートアップに資本が集まる理由が変わった。2023〜2024年まで投資家が賭けていたのは「AIがより速いSASTを作れる」という点だった。2026年の論理は異なる。「AIが既存ツールでは構造的にできなかったことをする」。

その核心がファジングハーネスだ。AFL、libFuzzer、OSS-Fuzzは数十年にわたって脆弱性を発見してきたが、参入障壁は常にハーネスの作成だった。API一つにつき数時間の手作業。LLMはこのボトルネックをなくす——ソースコードを読んで直接バグの仮説を立てる。

なぜ今このスタートアップたちなのか

Anthropicは4月7日にMythosプレビューを公開し、具体的な数値を示した：Firefox 150で271件の脆弱性発見、誤検知ほぼゼロ。手法はエージェント型コード推論——ファイル優先度スコアリング、仮説形成、ビルド・実行検証、PoC作成。従来のファジャーとは異なるレイヤーで動作する。

このデモはスタートアップへの投資論理を検証した。XBOW（CEO Oege de Moor、元GitHub Copilot共同創設者）は3月にシリーズC $1.55億でユニコーン達成。ZeroPath（LLM+静的解析結合、認証バイパス検出に強み）は2026年2月に追加シード $500万。Pixee（自動パッチ適用重視）はこのエコシステムで異なるポジショニング——Mythosが「発見」に集中するなら、Pixeeは「修正」に集中する。

創業者が見るべき空白

大手モデル提供者（Anthropic、OpenAI）が基盤を提供するが、エンタープライズ統合はスタートアップの領域だ。CI/CDパイプラインへのLLMセキュリティスキャン統合ツール、トリアージ自動化、パッチ提案→コードレビュー連携ワークフローはまだ空白がある。EU AI Actの8月2日全面施行は高リスクAIシステムへの自動レッドチーミング義務化を含む——コンプライアンスSaaSという角度も開かれる。

関連公募・イベント