[ メモリ破壊系の検証 · クリティカルインフラ ]

重要インフラソフトウェアのための、検証ベースの脆弱性調査。

Stella は、C/C++ で実装されたインフラコードを監査し、検証済みの発見のみを納品します。再現可能な PoC、検証ログ、ソース引用の検証、調整公開の支援を含みます。AI が生成した未検証の報告をそのまま納品しません。

パイロット監査を依頼するサンプルレポートをダウンロード
  • 32 CVEs
  • $75K+ 報奨金
  • 検証済みの発見のみ
  • 40 以上の対象を監査
lilith@stella — bash — 80×24

[検証の重要性]

発見は供給過多に、信頼は希少になっています。

AI セキュリティツール、ファザー、CodeQL は、メンテナがトリアージできる量を超える脆弱性候補を生成するようになりました。2026 年 1 月、curl はバグバウンティプログラムを終了し、Internet Bug Bounty も新規受理を停止しました。新しいボトルネックは「バグを見つけること」ではなく、それが本物で、再現可能で、到達可能であることを証明し、貴社チームが実際にパッチできるエンジニアリング成果に変換することです。

>_ Stella はこのギャップを埋めます。

  • [未検証候補]

    納品前に検証

    Lilith の検証ハーネスが、納品前に再現性とソース引用を確認します。

  • [すべての PoC]

    ASAN 検証

    隔離された GCP VM 上で AddressSanitizer / UBSan / MSan により再現確認します。

  • [公開準備]

    CVE 対応

    公開文面、ベンダー連絡先、禁輸期間のタイムラインを全件で下書きします。

[ここから始める]

Stella Verified Audit Pilot

1 リポジトリまたは 1 コンポーネントを対象とする、2 週間・固定スコープの監査です。納品するのは検証済みの発見のみ — 再現可能で、検証ログに裏付けられ、貴社エンジニアがそのままパッチできる形でお届けします。

[スコープ]

  • 1 リポジトリまたは 1 コンポーネント
  • C/C++ 製インフラ
  • 2 週間の契約期間
  • 固定料金 $15,000
  • NDA・調整公開のスコープ承認を含む

[納品物]

  • 検証済みの発見のみ
  • 隔離された GCP 環境で再現可能な PoC
  • AddressSanitizer / UBSan / MSan による証拠
  • ソース引用の検証(ハルシネーションによる行参照なし)
  • CVSS / CWE ドラフト
  • パッチガイダンス + 1 週間のパッチ検証ウィンドウ
  • 調整公開の支援

[お約束]

未検証の AI レポートは納品しません。本番環境での試験は行いません。お客様の承認なしに公開することはありません。

パイロット監査を依頼する

[Stella の納品プロセス]

固定リビジョンから、検証済み・再現可能な発見まで。

Stella は 4 段階のパイプラインを各段階の検証ゲートとともに運用します。いずれかのゲートを通過できない候補は転送せず破棄し、再現性・証拠・ソース引用を確認できた候補だけを報告に残します。

[01]

スコープ

対象コードベースとスコープ対象コンポーネントを共有していただきます。Stella が範囲・スケジュール・公開方針を取り決め、監査開始前に NDA と調整公開承認を取り交わします。

[02]

Lilith が探索

並列 LLM エクスプローラーが脅威モデルを構築し、コードをプロトコル仕様(TLS、X.509、HPKE、QUIC など)と照合しつつ、敵対的な攻撃仮説を生成します。評価フェーズが弱い候補をフィルタし、高コストな検証段階へ送り込みません。

[03]

Lilith が検証

残った候補を AddressSanitizer / UBSan / MSan でビルドし、独立した GCP 環境で再現します。証拠ゲートがハルシネーションによるスタックトレースを却下し、ソース引用ゲートが各コード参照を実リポジトリのリビジョンと照合します — 機械的に検証され、引用がクリーンな候補のみが残ります。

[04]

Stella が報告

CWE 分類、CVSS スコア、実行可能な PoC コード、調整公開ガイダンスを含む CVE 対応レポートを、納品前に Haruto Kimura が確認・サインオフしてお届けします。納品後 1 週間のパッチ検証ウィンドウで、修正が確実に効いているかを確認します。

[Lilith を選ぶ理由]

スキャナが見落とすものを、検証ハーネスが捕まえる。

ファジングは仕様を推論できず、静的解析は仮説を立てられず、手動監査は数ヶ月を要し、LLM 単体のツールはノイズを量産します。Stella の検証ハーネスは、仕様を理解する LLM 推論と、決定論的な再現検証を組み合わせます。

推論で狩るメモリ破壊系脆弱性

Stella は、C/C++ 製インフラコードのメモリ破壊系脆弱性 — バッファオーバーフロー、use-after-free、整数アンダーフロー、境界外アクセス — を専門に扱います。Lilith の並列 LLM エクスプローラーが RFC を読み、脅威モデルを構築し、ファジングが数百万回の入力でやっと辿り着くような攻撃仮説を生成します。

検証ログで裏付けた PoC

全候補は AddressSanitizer / UBSan / MSan でビルドされ、独立した GCP 環境で再現確認されます。Lilith の証拠ゲートがハルシネーションによるスタックトレースを却下し、ソース引用ゲートが実リポジトリと一致しない行参照を含む候補を排除します。AI 生成のノイズが貴社エンジニアの手元に届くことはありません。

検証ファーストの納品

Stella が納品するのはレポートであって、トリアージ待ち行列ではありません。すべての発見には、検証済みの PoC・パッチ提案・公開文面・1 週間のパッチ検証ウィンドウが付属します。納品物は Stella から出る前に人間の監査人がレビュー・サインオフします — AI 拡張型であり、AI 自律型ではありません。

[納品物]

すべての検出結果は、CVE対応済み・その場でパッチできる完成形で届きます。

Lilith Engineはトリアージキューを返しません。各検出結果は、AddressSanitizerで検証済みのクラッシュと実行可能なPoC、ベンダー提出用に下書きされた開示文書を含む単一のMarkdownドキュメントとして、メール・GitHub Issues・Slack・Jiraへ直接届きます。

  • CVE対応済み Markdown 開示文書

    CWE分類・CVSS v3.1ベクター・技術詳細・コールパス・修正ガイダンスをベンダー/プラットフォーム提出形式で含む。

  • AddressSanitizer 検証済み PoC

    隔離されたUbuntu 22.04 GCP環境で再現可能なクラッシュ。Lilithのエビデンスゲートが幻覚由来のトレースを事前に排除します。

  • ワンクリック再現スクリプト

    対象リポジトリのクローン・ビルドフラグ適用・ASAN付きコンパイル・PoC実行までを行うBashスクリプト。200行未満で完結。

  • コーディネーテッド開示ガイダンス

    ベンダーのセキュリティ連絡先・影響を受けるバージョン範囲・ベンダー方針に沿った開示タイムラインを下書き済みで提供。

  • チームの作業環境へ直接配信

    メール・GitHub Issues・Slack・Jira から選択可能(複数併用も可)。Verified Audit / Triage Retainer エンゲージメントでは、重要度の高い検出は 24〜72 時間以内にエスカレーションされます。

実例 · 公開済みdisclosure.md

CVE-2026-6766

tls13_AEAD における整数アンダーフロー → SSL_AeadDecrypt 経由のワイルドアドレス書き込み

ベンダー
Mozilla — Firefox NSS (libssl3)
深刻度
Medium · CVSS 5.3
CWE
CWE-191 (整数アンダーフロー)
検証環境
GCP e2-standard-4 · Ubuntu 22.04 · ASAN
パッチ適用
Firefox 150 および Firefox ESR 140.10 で修正

## 技術概要

SSL_AeadDecrypt() がAEADタグ長(AES-128-GCMで16バイト)より短い暗号文で呼び出されると、tls13_AEAD 内の符号なし減算がアンダーフローして約4GBまで巻き戻り、結果として生成された不正な tag ポインタが Intel AES-GCM復号パスでSEGVを引き起こします。任意のリモートQUICピアから到達可能で、外部PKCS#11モジュール利用環境に影響。

## lib/ssl/tls13con.c:5150 — 脆弱な AEAD 復号パス

/* tls13_AEAD() — decrypt path */
if (decrypt) {
    inLen = inLen - tagLen;        /* BUG: inLen >= tagLen のチェックなし */
    tag = (unsigned char *)in + inLen;  /* アンダーフロー時に不正ポインタ */
}
rv = PK11_AEADOp(context, ivGen, fixedbits, ivOut, ivLen,
                 aad, aadLen, out, (int *)outLen, maxout,
                 tag, tagLen, in, inLen);

## AddressSanitizer 出力(抜粋)

==2914==ERROR: AddressSanitizer: SEGV on unknown address
WRITE メモリアクセス起因のシグナル (wild-addr-write)。
    #0 intel_aes_gcmDEC        intel-gcm.S:1186
    #1 platform_AES_GCM_DecryptAEAD  intel-gcm-wrap.c:503
    #2 sftk_AES_AEAD           softoken/sftkmessage.c:321
    #3 PK11_AEADRawOp          pk11/pk11cxt.c:1426
    #4 tls13_AEAD (decrypt=1)  lib/ssl/tls13con.c:5151  inLen=0xFFFFFFF5
SUMMARY: 符号なし (inLen - tagLen) アンダーフローによるワイルド書き込み

[01]

32

取得CVE

32件公開済

[02]

59

受理された報告

[03]

40+

監査対象

[04]

$75K+

報奨金総額

Mozilla · Intel · Intigriti · YesWeHack

[実証された成果]

本物の脆弱性、本物のインパクト。

CVE.org、NVD、ベンダーアドバイザリで32件のCVEを公開 — メモリ破壊系、証明書検証、サービス拒否、ルーティングプロトコルのパース、認可バイパスにまたがる(Haruto Kimura/Stellaクレジット)。FRRouting 関連の 9 件(CVE-2026-39265〜39274)は 2026-05-28 にアサインされ、CNA による公開待ちです。

$ lilith feed --top
  • CRITCVE-2026-34875·CVSS 9.8·Arm Mbed TLS/PSA Crypto FFDH

    FFDH公開鍵エクスポートのバッファオーバーフロー

    psa_export_public_key() がFFDH公開鍵に対して呼び出し側の出力バッファサイズを十分に検証せず、エクスポート時にバッファをオーバーフローします。Haruto Kimura (Stella) クレジット。Mbed TLS 3.6.6およびTF-PSA-Crypto 1.1.0で修正。

    NVDMbed TLS
  • CRITCVE-2026-6665·CVSS 9.8·PostgreSQL/PgBouncer SCRAM

    スタックバッファオーバーフロー (CWE-121)

    PgBouncerのSCRAM認証パスは、client-final-messageの組み立てにstrlcat()を用いつつ戻り値を確認しません。悪意あるPostgreSQLバックエンドがserver-final-messageに過大なnonceを供給すると、スタック上の応答バッファがオーバーフローします。PgBouncer 1.25.2 未満に影響。

  • HIGHCVE-2026-25833·CVSS 7.5·Arm Mbed TLS/x509_inet_pton_ipv6()

    バッファアンダーフロー / アンダーリード

    フォールバックIPv6パーサがIPv4マップ部分を処理する際に入力バッファ先頭より前へ戻り、小さなバッファアンダーリードとまれなDoS条件を引き起こす可能性があります。Haruto Kimura (Stella) クレジット。3.6.6および4.1.0で修正。

    CVENVDMbed TLS
公開済み32件の開示をすべて見る →

[報奨金実績]

$75K+ — 主要バグバウンティプログラムからの報奨金。

Stellaの脆弱性研究は、業界各社のエンタープライズセキュリティチームに評価され、支払済みまたは確定済みの報奨金として認められています。すべての報奨金は、再現可能でASAN検証済みの発見に裏打ちされています — トリアージ待ちのノイズではありません。

$ stella ledger --bounties

[ Σ ] 支払済み・確定済み報奨金

$75K+

  • [+]Mozilla

    Firefox NSS · mozpkix

    Mozillaのバグバウンティから、Firefoxに搭載される暗号コアにおけるメモリ破壊系発見に対して支払われています。

  • [+]Intigriti

    欧州バウンティプラットフォーム

    暗号ライブラリやインフラソフトウェアを対象とするIntigritiのエンタープライズプログラムを通じ、発見が検証・支払われています。

  • [+]YesWeHack

    公開・非公開プログラム

    重要インフラとプロトコル実装を対象とするYesWeHackの各プログラムで、脆弱性が受理されています。

  • [+]Intel

    OpenVINO

    OpenVINOの脆弱性研究がIntelのセキュリティプログラムで受理され、Stellaのインフラ研究実績に新たなエンタープライズ評価が加わりました。

  • [+]Red Hat

    コーディネーテッド開示パートナー

    GnuTLSの発見は、Red Hat Product Security による禁輸期間中の調整公開で扱われ、RHELおよびOpenShiftにおける下流の影響評価を経たうえで公開CVEが割り当てられました。

プログラム別の内訳は開示方針上非公開。総額にはUSD建て支払い、EUR建て報奨金のUSD換算、Stellaの提出記録上で確定済みの報奨金を含みます。Red Hatは報奨金プログラムではなく、エコシステムパートナーとして掲載。

[対象となるお客様]

重要インフラを支えるチームのために。

Stella のお客様は、インターネットが依存している C/C++ 製ソフトウェアを維持する専門チーム、そして AI ツールから届く受信報告のトリアージを担うセキュリティ部門です。

  • Product Security / PSIRT チーム

    インフラソフトウェアベンダーにおいて、AI 由来の受信報告と社内エンジニアの間に独立した検証レイヤを必要とされている部門。

  • エンジニアリングリーダー

    C/C++ 製のプロトコルパーサ、TLS ライブラリ、VPN デーモン、DNS サーバ、組込み TCP/IP スタック、データベースインフラを維持する開発組織。

  • 商用 OSS インフラ企業の CTO

    CVE 対応や調達セキュリティアンケートへの回答として、証拠に裏づけられた監査結果を求められる経営層。

  • AI コードレビューを導入しているセキュリティチーム

    Mythos、GPT-5.5-Cyber、CodeQL、Semgrep などを大規模に運用し、AI 出力とエンジニアリング作業の間に独立した検証レイヤを必要とされているチーム。

  • OSS 財団・セキュリティ助成組織

    Alpha-Omega、Linux Foundation など、重要な C/C++ OSS の監査を後援している組織。

[チーム]

メモリ破壊系を専門とするエンジニアが 立ち上げました。

Stella の創業者である木村 悠人(Haruto Kimura)は、C/C++ 製インフラソフトウェアのメモリ破壊系脆弱性を専門とするセキュリティエンジニアです。

  • セキュリティエンジニア / Cyber Defense チーム / LY Corporation(LINEヤフー)
  • TLS・VPN・DNS・ルーティング・プロキシ・データベースインフラにわたり 32 件の CVE を取得
  • Mozilla、Arm PSIRT、Intel、ISC/BIND、PowerDNS、strongSwan、FRRouting、Red Hat Product Security との協調公開実績

[公開条件]

Stella の調査は、正式な調整公開条件のもとで実施します。すべてのエンゲージメントは、監査開始前にスコープ承認・禁輸調整・責任範囲の合意を取り交わします。

[スタック]

本番品質のクラウドインフラ上に構築。

Lilith Engineはクラウドネイティブなプロダクトです。監査は隔離されたGoogle Cloud VM上で実行され、専門モデルのパスが脅威モデリングと探索を駆動し、納品物はチームが既に使用しているツールに直接届きます。

  • Google Cloud Platform

    隔離された監査VM · ASAN付き再現 · ターゲットごとの一時サンドボックス

  • モデルオーケストレーション層

    脅威モデリング・探索・エビデンスゲート評価を駆動する専門推論

  • GitHub

    リポジトリ取込 · Issues経由の検出ルーティング · コーディネーテッド開示ワークフロー

  • Slack & Jira

    重要検出のエスカレーション · Verified Audit / Triage Retainer エンゲージメントは 24 時間対応

  • PagerDuty

    高深刻度検出のオンコールページ送信(Verified Audit / Triage Retainer)

[サービスメニュー]

検証済みの成果に対する料金体系。

Stella が販売するのは検証作業です — シート数でもスキャン回数でもありません。多くのチームは固定スコープの Pilot Audit($15,000・2 週間)から始めます。継続される場合は Focused Audit、Full Verified Audit、Triage Retainer、脆弱性クラス単位の Patch Validation からお選びいただけます。OSS メンテナの方には、審査制の無償コントリビューション枠をご用意しています。

ここから開始

Stella Verified Audit Pilot

固定スコープの入口監査

$15,000固定料金 · 2 週間

初回のお客様や、スコープを広げる前に Stella の納品品質を 1 リポジトリまたは 1 コンポーネントで確認したいチーム向けです。

  • 1 リポジトリまたは 1 コンポーネント
  • 検証済みの発見のみ
  • 再現可能な PoC・検証ログ・ソース引用の検証
  • CVSS / CWE ドラフト
  • パッチガイダンス + 調整公開の支援
パイロット監査を依頼する

Focused Audit

狭い対象をより深く検証

$18K〜$25K2〜3週間契約

パイロットより深い検証を求めつつ、4 週間のフル監査まではまだ必要ないチーム向け。1 つのライブラリ、ファームウェアコンポーネント、パーサ、プロトコル表面、ロボティクス / 組込みコンポーネントに適しています。

  • 1 ライブラリ / パーサ / プロトコル / ファームウェア / 組込みコンポーネント
  • プロダクト領域全体に進む前の深い検証
  • 再現可能な PoC・検証ログ・ソース引用の検証
  • CVSS / CWE ドラフトとパッチガイダンス
  • 該当する発見には調整公開を支援
Focused Audit を相談する
フルスコープ

Full Verified Audit

対象領域全体に対する検証監査

$30K〜4週間契約

出荷中の 1 プロダクト領域または 1 プロトコル表面が対象。フルスコープの検証サイクルを回し、パッチ検証、禁輸期間調整、CVE 提出支援まで完結させたい製品セキュリティチームに最適です。

  • 1 プロダクト領域 / 1 プロトコル表面
  • C/C++ の全面検証
  • 再現可能な PoC・検証ログ・ソース引用の検証
  • パッチ検証スプリントを含む
  • 禁輸期間の調整と CVE 提出
相談する

Triage Retainer

受信した AI 生成報告を検証

$8K〜$20K月額

AI が生成した受信報告に埋もれている PSIRT やバグバウンティプログラム向け。各報告を「本物 / 重複 / 誤検出 / セキュリティ関連」に分類し、エンジニアリングで対応すべき短いリストにして返却します。

  • 受信する AI レポート・ファジングクラッシュ・外部報告を検証
  • 本物 / 重複 / 誤検出 / セキュリティ関連の分類
  • 提出者への返信ドラフト
  • PSIRT・バグバウンティプログラム向け
  • 月次契約・件数に応じて柔軟に調整可能
相談する

Patch Validation

「修正は本当に効いたか」を確認

$5K〜$12K脆弱性クラス単位

禁輸中の CVE を抱えているベンダー、または規制対応のプレッシャーの中で、適用したパッチが真に根本原因を修正し、近傍コードに亜種が残っていないかを独立した立場で確認したい組織向け。

  • パッチが根本原因を修正しているかを検証
  • 対象コンポーネントを横断した亜種解析
  • クラス単位の深掘り・リテイナー契約も可
  • 禁輸中の CVE 対応や規制対応に有効
  • 元の公開タイムラインに合わせて納品
相談する

Open Source

重要 OSS セキュリティへの貢献枠

無料審査制

重要なオープンソース C/C++ インフラのメンテナ向け。商用提供の主力ではなく、Stella が依存する上流エコシステムへの還元です。

  • 1 コードベース、プロジェクト単位で審査
  • 協調開示は Stella が一括対応
  • CVE 提出とベンダー調整を代行
  • アドバイザリに「Powered by Lilith」クレジット
  • 受付枠に上限あり、審査に約 1 週間
OSS 枠を申請する

初期段階のお客様や初回のお客様は、より小さなスコープから開始できます。プロダクト領域全体へ広げる前に、狭いコンポーネント単位でスコープ設計できます。

[アプローチ]

Stella の検証エンゲージメントを他社と比較。

従来の専門監査は、高額でカレンダーを大きく消費することがあります。Stella は固定スコープのパイロットから開始し、検証済みで再現可能な発見をより速いペースで納品します。

[+]Stella Verified Audit

費用
$15K Pilot / $18K〜$25K Focused Audit / Full Verified Audit は $30K〜
成果までの時間
2 週間のパイロット · 2〜3 週間の Focused Audit · 4 週間のフル監査
証拠の質
ASAN / UBSan / MSan で検証済みの PoC・ソース引用検証済み
分析手法
AI 拡張型検証ハーネス + 人間のレビュー
納品物
PoC・パッチガイダンス・公開文面を備えた CVE 対応レポート

従来のブティック監査

費用
従来の専門監査は $50K〜$150K に達する場合があります
成果までの時間
カレンダーを大きく消費し、数ヶ月規模になることがあります
証拠の質
監査者により異なる
分析手法
人間の直感
納品物
PDF レポート

[導入手順]

申込みから最初の検出まで、3ステップ。

CLIのインストール不要、SDK統合不要。Lilith EngineはStellaのインフラ上で完全に動作し、Gitリポジトリを接続いただくだけで、検出結果はチームが既に使用しているチャネルへ届きます。

  1. 01

    パイロット監査から始める

    2 週間・固定料金 $15,000・固定スコープで、1 リポジトリまたは 1 コンポーネントを対象とします。上部のパイロット CTA から、または Focused Audit・Full Verified Audit・Triage Retainer・Patch Validation のいずれかをご相談ください。OSS メンテナの方は審査制の無償枠にお申し込みいただけます。

  2. 02

    スコープ・NDA・承認

    30 分のスコープ確認コール(対象が Stella の専門領域 — C/C++ 製インフラソフトウェア — に合致するかを確認)。監査開始前に NDA と調整公開のスコープ承認を取り交わします。Stella にリポジトリの読み取り専用アクセスを付与いただきます。エージェントのインストール不要、コードは Stella の GCP インフラ外へ複製しません。

  3. 03

    検証済みの発見、そしてパッチ

    Lilith の検証ハーネスが、各候補を AddressSanitizer / UBSan / MSan でゲートしてからのみパイプライン外へ送ります。検証済みの発見は、再現可能な PoC と公開文面を備えた CVE 対応 Markdown として届きます。納品後 1 週間のパッチ検証ウィンドウで修正が確実に効いているかを確認します。

サービスメニューを見るパイロット監査を依頼する