AIがOpenVM zkVMの重大脆弱性を発見
AI監査ツール「zkao」がOpenVMのzkVMライブラリに深刻な欠陥を発見 zkSecurityが公開したレポートによると、同社のAI監査ツール「zkao」がゼロ知識仮想マシンフレームワークOpenVMのゲストライブラリopenvm-pairingにおいて、重大な健全性欠陥を特定した。CVE-2026-46669として登録され、OpenVM 1.6.0で修正済み。全パートナーも該当バージョンへアップグレード済み。 問題となったのは、ペアリング計算の最適化処理におけるスケーリング係数の部分体チェック欠如。OpenVMは計算負荷削減のため、最終指数演算を代替する効率的な検証式を採用していたが、検証対象のスケーリング係数が適切な部分体F_p6に属するかの検証を省略していた。この欠陥により、悪意あるプロバーは擬似ペアリング値を自由に作成し、検証を突破可能だった。 同ライブラリはGroth16やPLONK、BLS署名など複数のゼロ知識証明プロトコルの中核をなす。脆弱性が存在すると、OpenVM上で動作するL2ロールアップやブリッジの暗号的基盤が崩壊する危険性があった。修正後はスケーリング係数の部分体所属検証が追加され、不正な検証値の受け入れが防止された。 本監査は、従来のLLMエージェントが複雑な依存関係を持つzkVMコードベースを解析する際の限界を浮き彫りにした。独立モジュールごとに分割する標準的なAI監査手法は適用できず、zkaoは専門家の監査フローをエンコードした独自パイプラインにより9.5時間以上のスキャンで本欠陥を特定した。また、生成されたPoCの信頼性には課題があるものの、AI監査と人的レビューを組み合わせる継続的監査の必要性を裏付けた。同社は次期OpenVM 2.0向けに追加課題の調査を進めており、今後詳細を公開予定。
