2026年2月にv3.2.2が公開されたNeuroSploitは、GitHubで★1.1kを集める「AI-Powered Autonomous Penetration Testing Platform」を名乗るオープンソース(MIT)だ。LLMに複数の探索・検証エージェントを並列で動かし、Webアプリの脆弱性候補を自律的に洗い出してレポート化する。本記事は、このOSSの存在・設計・規模感を一次ソース(公式リポジトリ)に基づいて学術的に観察し、こうしたツールが普及する世界で防御側がどう備えるかを整理するものだ。攻撃ペイロードや具体的な悪用手順は一切扱わない。
はじめに(最重要):正当な利用に限る。無許可テストは違法。
NeuroSploitのリポジトリは冒頭で「This tool is for authorized security testing only.(このツールは許可されたセキュリティテスト専用)」と明記している。自分が所有するか、書面で明示的に許可を得たシステムにのみ使うことが前提だ。許可のない第三者のシステムへのテストは、日本の不正アクセス禁止法をはじめ各国の法令で違法となり得る。本記事は防御・観察の目的で書いており、攻撃手法・ペイロード・回避策の具体は扱わない。
AIとセキュリティの全体像を先に押さえたい方は、ピラー記事AIセキュリティとは?LLM時代の脅威モデル・代表的リスク・OSS対策ツールを体系解説する入門ガイドを読むと、本記事で扱うAIペンテストツールの位置づけがつかみやすい。
30秒で理解する NeuroSploit
3行+αでわかるNeuroSploit
・何か:LLMに探索・検証エージェントを並列で動かす、自律ペンテスト自動化のOSS(MIT・★1.1k・v3.2.2)
・設計の核:3ストリーム並列エージェント+Kali Dockerサンドボックス隔離+アンチハルシネーション検証パイプライン
・本記事の趣旨:攻撃手順は扱わず、設計の観察と「防御側はどう備えるか」に絞る
・前提:許可されたシステムにのみ使用可。無許可テストは違法
ここ1年で「AIにペンテストを任せる」系のプロジェクトが相次いで登場している。NeuroSploitはその中でも、LLMの幻覚(hallucination)を機械的に検証する多段パイプラインと、スキャンごとの使い捨てKaliコンテナ隔離という、運用を意識した設計を前面に出している点が観察対象として興味深い。以下では、何ができると主張しているのか、どう構成されているのかを、公式リポジトリの記述に沿って順に読んでいく。
NeuroSploitとは:★1.1k・MIT・v3.2.2のAIペンテストOSS
NeuroSploitは、開発者JoasASantos氏が公開するペネトレーションテスト自動化基盤だ。リポジトリのタグラインは「AI-Powered Autonomous Penetration Testing Platform」で、最新リリースはv3.2.2「Full LLM Pentest Mode」(2026年2月24日)。言語構成はPython 79.4%/TypeScript 18.4%が中心で、バックエンドにFastAPI、フロントエンドにReact 18という構成になっている。
公式の概要から、設計上の主張を観察コメントつきで読む。
AI-Powered Autonomous Penetration Testing Platform
観察:キーワードは「Autonomous(自律)」だ。人間が一手ずつ指示する半自動ツールではなく、LLMエージェントが偵察から検証、レポート生成までを一連で進める設計を志向している。後述するように、その「自律」を実用に耐えさせるための仕掛けが、検証パイプラインとサンドボックス隔離である。
機能面では、リポジトリは100種の脆弱性タイプへの対応、16種のWAFシグネチャ検出と12種のバイパステクニック、10種のエクスプロイトチェーンルール、MCPサーバー(12ツール・stdio)などを掲げている。なお本記事では、WAFバイパスやエクスプロイトチェーンが「何種類あるか」という規模感には触れるが、その具体的な技法・内容は扱わない。
技術スタックを見ると、バックエンドはPython+FastAPI+SQLAlchemy+Pydantic+aiohttp、フロントエンドはReact 18+TypeScript+TailwindCSS+Viteという、現代的なWebアプリの定番構成だ。スキャン実行層はDocker上のKali Linuxと、ProjectDiscovery系のツール群で組まれている。注目すべきは、検出エンジンが単体のCLIではなくFastAPIバックエンド+React製のWeb UIとして作られている点だ。これは「研究者が手元で叩くスクリプト」ではなく、「チームで継続運用するダッシュボード」を志向していることを示す。
加えて、NeuroSploitはMCP(Model Context Protocol)サーバーを12ツール・stdioトランスポートで提供している。MCPは、LLMクライアントに外部ツールを標準化された形で接続するためのプロトコルだ。NeuroSploitがMCPサーバーを備えるということは、Claude DesktopやClaude CodeのようなMCP対応クライアントから、NeuroSploitの機能を直接呼び出せる設計になっていることを意味する。AIエージェントのエコシステムにオフェンシブツールが組み込まれていく流れを示す一例として観察できる。なお、MCP自体がサプライチェーン攻撃の標的になりつつある点はHadesワームの解説で扱っており、MCPを介してツールを連携する構成にはこの観点でのリスク評価も欠かせない。
規模を示す数値は、ツールの能力の「面の広さ」を表すが、検出の正確さを保証するものではない。NeuroSploitが検証パイプラインに紙幅を割いているのは、まさに「広く検出するほどfalse positiveが増える」というAIペンテストの構造的課題に向き合っているからだと読める。
AI駆動ペンテストフレームワークの台頭:PentestGPT/HackerAIからの系譜
NeuroSploitは突然現れたわけではない。LLMの登場以降、「AIにオフェンシブセキュリティの手数を任せる」試みは段階的に進化してきた。大まかな系譜を観察すると、次のような流れになる。
・第1世代(対話アシスタント型):人間がプロンプトでLLMに相談し、次の一手の案や解説をもらう。判断と実行は人間。
・第2世代(ツール統合型):LLMにツール実行をつなぎ、自然言語の指示で既存セキュリティツール群を呼び出す。当サイトで解説したHackerAI徹底解説|40種のセキュリティツールをAI対話で操るペンテスト自動化OSSはこの世代の代表だ。
・第3世代(自律オーケストレーション型):複数エージェントが並列で偵察・検証・ツール実行を分担し、人間の介在を最小化する。NeuroSploitの3ストリーム設計はここに位置づけられる。
この潮流は標準化の議論も生んでいる。AIエージェントによる自律ペンテストをどう評価・統制するかについては、OWASP APTS|AIエージェント時代の自律型ペネトレーションテスト基準を読むで扱った基準づくりが進んでおり、NeuroSploitのような実装はそのユースケースの具体例と見ることができる。
重要なのは、この進化が攻撃側だけの話ではない点だ。同じ自律エージェント技術は、防御側の継続的な自己点検(許可された自社環境への定期スキャン)にも使える。道具そのものは中立であり、誰が・どの許可範囲で使うかが正当性を分ける。
3ストリーム並列エージェントの設計
NeuroSploitの中核は、1回のスキャンを3つの役割に分けて並列実行するオーケストレーションだ。公式の説明を踏まえ、各ストリームの担当を整理する。
・Stream 1 — Recon(偵察):ページのクロール、パラメータの発見、技術スタックの検出、WAFの識別を担う
・Stream 2 — Junior Tester(検証):AIが優先度づけした検証を、エンドポイント単位で進める
・Stream 3 — Tool Runner(ツール実行):Nucleiスキャンやポート列挙など、既存ツールの自動実行を担う
3ストリームの結果はDeep Analysis(深層分析)に集約され、最後にReport Generation(レポート生成)へと流れる。人間のチームが「偵察班・テスト班・ツール班」に分かれて並行作業し、最後に分析担当が突き合わせる——そのワークフローをLLMエージェントで再現した構造と読める。
並列実行} B --> S1[Stream 1: Recon
クロール・パラメータ探索
技術検出・WAF識別] B --> S2[Stream 2: Junior Tester
AI優先度づけ検証] B --> S3[Stream 3: Tool Runner
Nuclei等の自動ツール実行] S1 --> D[Deep Analysis
深層分析・結果集約] S2 --> D S3 --> D D --> R[Report Generation
レポート生成]
並列化の狙いは明白だ。逐次実行では、偵察→検証→ツール実行と待ち時間が積み上がる。役割を分けて同時に走らせれば、スキャン全体のウォールクロックを短縮できる。LLMオーケストレーションでこの分担を表現している点が、NeuroSploitの設計上の特徴だ。
防御側の読み筋:並列偵察は、短時間で大量のパラメータ走査やWAFフィンガープリンティングを発生させる。逆に言えば、こうした探索トラフィックの異常パターンはログ監視で捉えやすい。AIペンテストが速くなるほど、検知側は「速さの痕跡」を手がかりにできる。
100種の脆弱性タイプの分類(10カテゴリ)
NeuroSploitは100種の脆弱性タイプを10カテゴリに整理している。以下は各カテゴリの名称と、一般的にそのカテゴリが何を指すかという概念レベルの説明である。具体的なペイロードや悪用手順は一切記載しない。
| カテゴリ | 概念(一般的な分類の意味) |
|---|---|
| Injection | 入力が想定外のコンテキストで解釈される系統の不備の総称 |
| Inspection | 情報露出・設定不備など、観察によって判明する種類の問題 |
| AI-Driven | LLM/AI機能特有のリスク(プロンプト関連の脅威など)の分類 |
| Authentication | 認証の実装不備に関する分類 |
| Authorization | 権限・アクセス制御の不備(オブジェクトレベル含む)の分類 |
| File Access | ファイル取り扱いに関するリスクの分類 |
| Request Forgery | リクエスト偽造系(サーバ側・クライアント側)の分類 |
| Client-Side | ブラウザ側で成立する種類の問題の分類 |
| Infrastructure | 基盤・構成に関わるリスクの分類 |
| Cloud/Supply | クラウド設定・サプライチェーン関連の分類 |
注目すべきは、伝統的なWeb脆弱性カテゴリに加えて「AI-Driven」が独立カテゴリとして立っていることだ。LLM機能を組み込んだアプリが増えた結果、AI特有のリスクが検査対象として明示的に分類されている。これは、攻撃面の地図そのものがAI時代に書き換わりつつあることを示すシグナルと読める。なお、AIアプリ側のリスクについては前掲のAIセキュリティ入門ガイドで体系的に扱っている。
防御側の読み筋:自社のアプリにLLM機能を組み込んでいるなら、従来のWeb脆弱性に加えて「AI-Driven」カテゴリの観点を脆弱性管理プログラムに組み込む必要がある。攻撃ツールが既にこのカテゴリを標準装備している以上、検査側も追随すべきだ。
Kaliサンドボックス隔離システム(スキャンごとコンテナ・56ツール・TTL60分)
NeuroSploitは、ツール実行をスキャンごとに専用のKali Linux Dockerコンテナへ隔離する。リポジトリの記述によれば、コンテナは最大5つまで同時稼働し、各コンテナにはTTL(生存時間)60分が設定され、時間切れで破棄される。ツールはプリインストール28+オンデマンド28=合計56を扱える構成だ。
最大5並列・TTL60分] --> K1[KaliSandbox #1
scan A 専用] P --> K2[KaliSandbox #2
scan B 専用] P --> K3[KaliSandbox #3
scan C 専用] K1 --> T[ツールセット
28プリインストール
+28オンデマンド = 56] K2 --> T K3 --> T K1 -.->|60分でTTL破棄| X[コンテナ破棄] K2 -.->|60分でTTL破棄| X K3 -.->|60分でTTL破棄| X
この設計は、セキュリティツール運用の観点で素直に理にかなっている。第一に、テスト用ツール群をホストから隔離することで、ツールの依存関係や残留物がホスト環境を汚さない。第二に、コンテナを使い捨てにすることで、スキャン間の状態混入を防ぎ、再現性を保ちやすい。第三に、TTLと並列上限を設けることで、暴走したスキャンがリソースを食い潰す事態を防ぐ。
観察:この「使い捨てサンドボックス」パターンは、攻撃・防御を問わず、信頼できないコードやツールを動かす場面で広く応用できる運用設計だ。AIエージェントに外部ツールを実行させる際の隔離手法として、防御側の自己点検環境を組むときにも参考になる。
もう一段踏み込むと、この設計はAIエージェントの「予測不能性」への保険でもある。LLMが次に何を実行するかは完全には事前確定できない以上、エージェントに直接ホストOSのシェルを触らせる構成はリスクが高い。スキャンごとに独立したコンテナを与え、TTLで強制的に寿命を切り、並列数に上限を設けることで、想定外の挙動が起きても影響範囲がそのコンテナ内・その時間内に閉じ込められる。これは「エージェントを信頼するのではなく、エージェントが失敗しても安全な箱を用意する」という、AIシステム設計の堅実な考え方の実装例だ。防御側が自社環境にAI支援ツールを導入する際も、まずこの種の隔離された箱の中で挙動を観察し、本番への影響経路を物理的に断ってから運用に乗せる——という順序を踏むことで、自動化のメリットを安全に取り込める。
アンチハルシネーション検証パイプライン
NeuroSploitが最も紙幅を割いているのが、LLMの幻覚を抑える検証パイプラインだ。AI駆動の脆弱性検出は、「もっともらしいが実在しない脆弱性」をfalse positiveとして大量に吐く危険を構造的に抱える。NeuroSploitはこれを多段の検証層で機械的にふるいにかける。
検出候補] --> N[Negative Controls
陰性対照を送信] N --> P[Proof of Execution
実行証跡の確認] P --> I[AI Interpretation
AIによる解釈] I --> S[Confidence Scorer
信頼度 0-100 を内訳つきで算出] S --> J{Validation Judge
最終判定} J -->|>=90| OK[Confirmed: 確定] J -->|>=60| LK[Likely: 可能性高] J -->|<60| RJ[Rejected: 棄却]
各段を観察コメントつきで読む。
・Negative Controls(陰性対照):無害・空のリクエストを対照として送り、検出候補と挙動が変わらなければ信頼度を大きく下げる。科学実験の「対照群」をセキュリティ検証に持ち込んだ発想だ
・Proof of Execution(実行証跡):脆弱性タイプごとに用意された確認方法で、実際に成立しているかの証跡を取る。候補を「主張」ではなく「証跡」で裏づける段階
・Confidence Scorer(信頼度スコア):0〜100の数値スコアを内訳つきで算出する。≥90を確定、≥60を可能性高、<60を棄却とする閾値設計で、判断の透明性が高い
・Validation Judge(最終判定):最終的な合否を下し、結果を記録して適応学習に回す。判定の一貫性を担保する「審判」層
ここが本質:AI駆動セキュリティツールが実務に耐えるかは、「どれだけ検出できるか」より「検出結果をどれだけ信頼できるか」で決まる。Negative Controlsという対照実験の発想と、内訳が見えるスコアリングは、AIの出力を鵜呑みにしないための実装パターンとして、防御側のAI活用にも転用できる。
防御側にとってこのパイプラインは、二重の意味で示唆的だ。ひとつは、自分たちがAIで脆弱性を検査する際の「検証の型」として参考になること。もうひとつは、攻撃側ツールがfalse positiveを減らして精度を上げている以上、検出される側の穴は確度高く突かれる前提で是正を急ぐべきだということだ。
防御側視点:AIペンテストツールが普及する世界でどう備えるか
ここまで観察したNeuroSploitのような自律ペンテストツールが一般化したとき、防御側が取るべき構えを整理する。攻撃の検知回避策には踏み込まず、正攻法の備えに絞る。
・脆弱性管理プログラムの定期化:資産棚卸し→優先度づけ→是正→再検査のサイクルを回す。AIで攻撃が速くなる以上、是正のリードタイム短縮が効く
・自分たちで先に回す:許可された自社環境に対し、同種のAI支援ツールを使って継続的に自己点検する。攻撃側と同じ道具を防御側が先に使えば、外部に悪用される前に塞げる
・WAF/IDS/IPSの更新:シグネチャだけでなく、挙動ベースの検知を併用する。並列偵察が生む探索トラフィックの異常は、レート・パターンの観点で捉えやすい
・ログ監視の強化:短時間の大量パラメータ走査、WAFフィンガープリンティング、想定外エンドポイントへの連続アクセスを時系列で可視化する
・AI機能の検査観点を追加:自社アプリがLLMを組み込むなら、前述「AI-Driven」カテゴリの観点を検査に組み込む
攻撃側のエージェント設計を理解することは、防御の質を直接押し上げる。攻撃エージェントがどんな専門分業で動くかを知れば、自社の検知ルールが「どの工程を捉えられているか」を点検できるからだ。Claude Code向けの攻撃セキュリティ専門サブエージェント群を解剖したpentest-ai-agents|Claude Code向け35の攻撃セキュリティ専門サブエージェント解剖も併読すると、自律ペンテストが「どの観点をどう分担するか」の解像度が上がり、防御側の盲点を逆算しやすくなる。
加えて、AIペンテストの結果は人間のトリアージとセットで初めて価値を持つことを忘れてはならない。自動検出は候補を高速に大量生成するが、ビジネス影響度の評価、修正の優先順位づけ、再発防止の設計判断は人間の仕事だ。ツールが出すスコアやレポートは「一次選別」と位置づけ、最終判断のレビュー体制を組織側に用意しておくことが、AIペンテスト時代の運用品質を決める。
防御の合言葉:AIで攻撃が自動化・高速化する前提で、検知と是正のサイクルを縮める。そして、許可された範囲で自分たちが先に同じ道具を回す。これがAIペンテスト時代の基本姿勢だ。
法的・倫理的留意点:authorized testing only
NeuroSploitのリポジトリは、Security Noticeとして利用条件を明記している。これは引用・周知すべき内容なので、原文を全文引用する。
This tool is for authorized security testing only.
- Only test systems you own or have explicit written permission to test
- Follow responsible disclosure practices
- Comply with all applicable laws and regulations
- Unauthorized access to computer systems is illegal
観察:日本語に要約すると、「(1)自分が所有するか書面で明示的に許可を得たシステムのみをテストする、(2)責任ある開示の慣行に従う、(3)適用されるすべての法令を遵守する、(4)コンピュータシステムへの無許可アクセスは違法である」となる。これはNeuroSploit固有の話ではなく、あらゆるオフェンシブセキュリティツールに共通する大前提だ。
日本では不正アクセス禁止法が、許可なく他人のシステムへアクセスする行為を禁じている。AIが自動で動くツールほど、「気軽に試したら無許可の対象にリクエストが飛んでいた」という事故が起きやすい。スコープの書面合意、関係者への通知、本番影響を避ける環境分離、ログ保全、結果の責任ある取り扱い——こうした手続きは、ツールが高機能になるほど重要になる。
繰り返す:許可のない第三者のシステムへのテストは違法だ。NeuroSploitのような自律ツールは、正当な許可と適切な運用手続きの上で初めて意味を持つ。本記事は防御・観察を目的としており、無許可テストを一切推奨しない。
類似OSS・プロジェクトとの位置づけ比較
AIを使ったペンテスト/オフェンシブ系のプロジェクトは複数ある。ここでは公開情報ベースの一般的な位置づけとして、設計の軸ごとに整理する(各プロジェクトの細部は更新されるため、最新は各リポジトリを参照)。
| 軸 | NeuroSploit | HackerAI(当サイト解説) | 対話アシスタント型(PentestGPT系の研究/OSS) |
|---|---|---|---|
| 自律度 | 高(3ストリーム並列の自律オーケストレーション) | 中(AI対話でツール群を操作) | 低〜中(人間主導の対話支援) |
| サンドボックス隔離 | スキャンごとKaliコンテナ・TTL60分 | ツール統合中心 | 一般に明示的隔離は前提でない |
| 検証パイプライン | 多段(陰性対照・実行証跡・信頼度スコア・判定) | — | —(人間が検証) |
| マルチLLM | Claude/GPT/Gemini/Ollama/LMStudio/OpenRouter | 対応モデルは実装による | プロジェクトによる |
| UI | React 18 + FastAPI のWeb UI | CLI/対話中心 | CLI/対話中心が多い |
| ライセンス | MIT | OSS(要確認) | プロジェクトによる |
この比較から読み取れるNeuroSploitの差別化点は、「検証パイプライン」と「サンドボックス隔離」という運用面の作り込みだ。多くのプロジェクトが「LLMでどう攻めるか」に注力する中で、NeuroSploitは「LLMの出力をどう信頼に足るものにするか」「実行環境をどう安全に隔離するか」という、実務運用で効く部分に重心を置いている。
ただし、表中の他プロジェクトの位置づけはあくまで公開情報に基づく一般論であり、各プロジェクトは活発に更新されている点には注意したい。AIペンテスト領域は標準化と実装が同時並行で進む若い分野であり、半年単位で勢力図が変わる。ここで重要なのは個別ツールの優劣ランキングではなく、「自律オーケストレーション」「実行環境の隔離」「出力の検証」という三つの設計軸が、AIペンテストツールの成熟度を測る共通の物差しになりつつあるという構造的な読みだ。NeuroSploitはこの三軸すべてに明示的な実装を持つ点で、現時点の設計トレンドを観察するうえで良い題材になっている。防御側としても、この三軸を理解しておけば、今後登場する同種ツールを評価する際の視点として使い回せる。
なお、AIエージェントを安全に動かすという観点では、攻撃用途に限らず汎用の自律コーディングエージェントの設計も参考になる。エージェントにツール実行権限を与える際の隔離・検証の設計判断は、オフェンシブツールと共通の課題だからだ。攻撃・防御・開発を問わず、「自律エージェントに強い権限を渡すときの隔離と検証」という問題は同じ形をしている。NeuroSploitのサンドボックス隔離と検証パイプラインは、まさにこの共通課題への一つの解答と読める。
制限事項とリスク:false positive・LLMコスト・運用負荷
最後に、NeuroSploitのような自律ペンテストツールを観察するうえで認識しておくべき制限を整理する。
・false positiveは残る:検証パイプラインは精度を上げる仕掛けだが、ゼロにはできない。確定・可能性高・棄却の段階づけがあるのは、裏返せば「自動判定だけで断定はしない」という設計思想の表れだ。最終的な真偽判断には人間のレビューが要る
・LLMコスト:複数エージェントを並列で動かし、各検出候補を多段で検証する構成は、クラウドAPI利用ならトークンコストが積み上がる。ローカルLLM(Ollama/LMStudio)対応はこのコストとデータ持ち出しの両面を緩和する選択肢になる
・コンテナ運用負荷:スキャンごとにKaliコンテナを起動・破棄する設計は安全だが、Dockerリソース(CPU/メモリ/ディスク)と並列上限の管理が前提になる。本番影響を避けるためにも、検証は隔離されたインフラで行うべきだ
・過信のリスク:「AIが自律で見てくれた」という安心感は、検査範囲の盲点を覆い隠しうる。ツールの出力はあくまで入力のひとつであり、脆弱性管理プログラム全体の中で位置づける必要がある
・法的リスクが最大:技術的な制限以上に重いのが、無許可利用の法的リスクだ。自律ツールほど「うっかり越境」が起きやすい点は、運用設計で最優先に潰すべきだ
NeuroSploitの設計は、AIペンテストの「面の広さ」と「検証の確からしさ」を両立させようとする意欲的な試みだ。一方で、それを安全かつ合法に運用する責任は、完全に利用者側にある。ツールの高機能化は、運用と倫理の要求水準も同時に引き上げる。
まとめ
NeuroSploit(★1.1k・MIT・v3.2.2)は、AI駆動の自律ペンテストというトレンドの中で、3ストリーム並列エージェント・Kali Dockerサンドボックス隔離・アンチハルシネーション検証パイプラインという、運用を意識した三つの設計で特徴づけられるOSSだった。本記事ではその存在・設計・規模を学術的に観察し、攻撃手法には一切踏み込まず、防御側がどう備えるか——脆弱性管理の定期化、自分たちで先に回す自己点検、挙動ベース検知とログ監視の強化、AI機能の検査観点追加——に焦点を当てた。
最も重要なのは、リポジトリ自身が掲げる「This tool is for authorized security testing only.」という原則だ。AIで攻撃が自動化・高速化する世界では、防御側もまた、許可された範囲で同じ道具を使いこなし、検知と是正のサイクルを縮めていく必要がある。道具の進化を、攻撃される前に守りを固める機会へ変えること——それが、AIペンテスト時代の現実的な構えだ。
参照ソース
・NeuroSploit — GitHub リポジトリ(JoasASantos/NeuroSploit)(一次ソース。設計・機能・Security Noticeの記述)
・NeuroSploit v3.2.2 リリース「Full LLM Pentest Mode」(2026年2月24日)(バージョン・公開日)
・OWASP APTS|AIエージェント時代の自律型ペネトレーションテスト基準を読む(自律ペンテストの評価・統制の文脈)
・AIセキュリティとは?LLM時代の脅威モデル・代表的リスク・OSS対策ツールを体系解説する入門ガイド(防御側の全体像)
