検証済みの成果に対する料金体系。

エンゲージメントは 2 週間・固定料金 $15,000 の Pilot Audit(1 リポジトリまたは 1 コンポーネント)から始めます。継続される場合は、Focused Audit、Full Verified Audit、Triage Retainer(受信した AI 生成報告の検証)、Patch Validation(脆弱性クラス単位の修正検証)からお選びいただけます。OSS メンテナには審査制の無償コントリビューション枠をご用意しています。

[サービスメニュー]

検証済みの成果に対する料金体系。

Stella が販売するのは検証作業です — シート数でもスキャン回数でもありません。多くのチームは固定スコープの Pilot Audit($15,000・2 週間)から始めます。継続される場合は Focused Audit、Full Verified Audit、Triage Retainer、脆弱性クラス単位の Patch Validation からお選びいただけます。OSS メンテナの方には、審査制の無償コントリビューション枠をご用意しています。

ここから開始

Stella Verified Audit Pilot

固定スコープの入口監査

$15,000固定料金 · 2 週間

初回のお客様や、スコープを広げる前に Stella の納品品質を 1 リポジトリまたは 1 コンポーネントで確認したいチーム向けです。

1 リポジトリまたは 1 コンポーネント
検証済みの発見のみ
再現可能な PoC・検証ログ・ソース引用の検証
CVSS / CWE ドラフト
パッチガイダンス + 調整公開の支援

パイロット監査を依頼する

Focused Audit

狭い対象をより深く検証

$18K〜$25K2〜3週間契約

パイロットより深い検証を求めつつ、4 週間のフル監査まではまだ必要ないチーム向け。1 つのライブラリ、ファームウェアコンポーネント、パーサ、プロトコル表面、ロボティクス / 組込みコンポーネントに適しています。

1 ライブラリ / パーサ / プロトコル / ファームウェア / 組込みコンポーネント
プロダクト領域全体に進む前の深い検証
再現可能な PoC・検証ログ・ソース引用の検証
CVSS / CWE ドラフトとパッチガイダンス
該当する発見には調整公開を支援

Focused Audit を相談する

フルスコープ

Full Verified Audit

対象領域全体に対する検証監査

$30K〜4週間契約

出荷中の 1 プロダクト領域または 1 プロトコル表面が対象。フルスコープの検証サイクルを回し、パッチ検証、禁輸期間調整、CVE 提出支援まで完結させたい製品セキュリティチームに最適です。

1 プロダクト領域 / 1 プロトコル表面
C/C++ の全面検証
再現可能な PoC・検証ログ・ソース引用の検証
パッチ検証スプリントを含む
禁輸期間の調整と CVE 提出

相談する

Triage Retainer

受信した AI 生成報告を検証

$8K〜$20K月額

AI が生成した受信報告に埋もれている PSIRT やバグバウンティプログラム向け。各報告を「本物 / 重複 / 誤検出 / セキュリティ関連」に分類し、エンジニアリングで対応すべき短いリストにして返却します。

受信する AI レポート・ファジングクラッシュ・外部報告を検証
本物 / 重複 / 誤検出 / セキュリティ関連の分類
提出者への返信ドラフト
PSIRT・バグバウンティプログラム向け
月次契約・件数に応じて柔軟に調整可能

相談する

Patch Validation

「修正は本当に効いたか」を確認

$5K〜$12K脆弱性クラス単位

禁輸中の CVE を抱えているベンダー、または規制対応のプレッシャーの中で、適用したパッチが真に根本原因を修正し、近傍コードに亜種が残っていないかを独立した立場で確認したい組織向け。

パッチが根本原因を修正しているかを検証
対象コンポーネントを横断した亜種解析
クラス単位の深掘り・リテイナー契約も可
禁輸中の CVE 対応や規制対応に有効
元の公開タイムラインに合わせて納品

相談する

Open Source

重要 OSS セキュリティへの貢献枠

無料審査制

重要なオープンソース C/C++ インフラのメンテナ向け。商用提供の主力ではなく、Stella が依存する上流エコシステムへの還元です。

1 コードベース、プロジェクト単位で審査
協調開示は Stella が一括対応
CVE 提出とベンダー調整を代行
アドバイザリに「Powered by Lilith」クレジット
受付枠に上限あり、審査に約 1 週間

OSS 枠を申請する

初期段階のお客様や初回のお客様は、より小さなスコープから開始できます。プロダクト領域全体へ広げる前に、狭いコンポーネント単位でスコープ設計できます。

[なぜ Stella を選ぶのか]

専門家が Stella を選ぶ 4 つの理由。

フロンティア LLM が「発見」をコモディティ化する一方で、「検証」はそうなっていません。Stella は専門特化したメモリ破壊系の技術と、検証ファーストの納品モデルを組み合わせます。インフラベンダーが汎用スキャナや汎用 AI サービスではなく Stella を選ぶ 4 つの理由は以下のとおりです。

[ 01 ]

発見ではなく、検証で勝負する

フロンティアモデル・ファザー・静的解析は、メンテナがトリアージできる量を超える候補を生成します。Lilith は全候補を、独立した GCP VM 上で AddressSanitizer / UBSan / MSan により再現確認したうえでしか納品しません。トリアージ待ちではなく、修正できる検証済みの発見にのみご請求します。

[ 02 ]

重要インフラを専門にカバー

暗号ライブラリ、VPN デーモン、DNS サーバ、ルータ、SIP ゲートウェイ、組込み TCP/IP スタックのメモリ破壊系は、ホリゾンタル SaaS(Snyk、Semgrep、Wiz)には狭すぎ、ベンダーが放置するには重要すぎる領域です。本気で取り組める企業は世界で 5 社程度。その中で Stella は最も若く、本番稼働中の LLM 検証ハーネスとしては最も深い設計を持ちます。

[ 03 ]

公開オペレーションまで含む

検証済みの発見には毎回、公開文面、ベンダー連絡先、禁輸期間タイムライン、1 週間のパッチ検証ウィンドウが付属します。Mozilla、Arm PSIRT、Intel、ISC、PowerDNS、Red Hat Product Security との調整実績があり、CVE をクリーンに通すための関係性を別料金ではなく契約に含めています。

[ 04 ]

公開 CVE による信頼性

wolfSSL、Mozilla NSS、GnuTLS、strongSwan、PowerDNS、Arm mbedTLS、PostgreSQL/PgBouncer、FRRouting にわたる 32 件の CVE。Mozilla、Intel、Intigriti、YesWeHack から $75K 以上の支払済み・確定済み報奨金、加えて Red Hat 経由の追加開示。新規参入者は CVE 実績ゼロからのスタートで、Stella が公開するたびにそのギャップが広がります。

[アプローチ]

Stella の検証エンゲージメントを他社と比較。

従来の専門監査は、高額でカレンダーを大きく消費することがあります。Stella は固定スコープのパイロットから開始し、検証済みで再現可能な発見をより速いペースで納品します。

アプローチ

[+]Stella Verified Audit

従来のブティック監査

費用

$15K Pilot / $18K〜$25K Focused Audit / Full Verified Audit は $30K〜

従来の専門監査は $50K〜$150K に達する場合があります

成果までの時間

2 週間のパイロット · 2〜3 週間の Focused Audit · 4 週間のフル監査

カレンダーを大きく消費し、数ヶ月規模になることがあります

証拠の質

ASAN / UBSan / MSan で検証済みの PoC・ソース引用検証済み

監査者により異なる

分析手法

AI 拡張型検証ハーネス + 人間のレビュー

人間の直感

納品物

PoC・パッチガイダンス・公開文面を備えた CVE 対応レポート

PDF レポート

[+]Stella Verified Audit

費用: $15K Pilot / $18K〜$25K Focused Audit / Full Verified Audit は $30K〜
成果までの時間: 2 週間のパイロット · 2〜3 週間の Focused Audit · 4 週間のフル監査
証拠の質: ASAN / UBSan / MSan で検証済みの PoC・ソース引用検証済み
分析手法: AI 拡張型検証ハーネス + 人間のレビュー
納品物: PoC・パッチガイダンス・公開文面を備えた CVE 対応レポート

従来のブティック監査

費用: 従来の専門監査は $50K〜$150K に達する場合があります
成果までの時間: カレンダーを大きく消費し、数ヶ月規模になることがあります
証拠の質: 監査者により異なる
分析手法: 人間の直感
納品物: PDF レポート

[よくあるご質問]

よくあるご質問

どこから始めればよいですか?: まずは 2 週間の Pilot Audit($15,000・固定スコープ・1 リポジトリまたは 1 コンポーネント)です。本格的な契約に進む前に納品物の品質をご確認いただくための設計です。継続されるお客様は、Focused Audit、Full Verified Audit、Triage Retainer(受信した AI レポートの検証)、または Patch Validation(クラス単位の修正検証)へ移行されます。
対応している言語と対象は?: C・C++ 製のインフラソフトウェアです — プロトコルパーサ、TLS ライブラリ、VPN デーモン、DNS サーバ、ルータ、組込み TCP/IP スタック、データベースインフラなど。Rust は検証ハーネスの成熟に合わせてロードマップに入れています。Rust 対象のご相談も歓迎です。範囲外の対象についても、カスタム案件として対応できる場合があります。
AI スロップ問題にどう対処していますか?: Lilith の検証ハーネスは、人が報告を見る前に、各候補を独立した GCP VM で AddressSanitizer / UBSan / MSan により実行し、ソース引用が実リポジトリと一致するかを検証します。ゲートを通過しなかった発見は転送されず破棄されます。
発見の所有権は誰にありますか?: お客様にあります。有償案件においては、お客様のコードベース上の発見はすべて専属的にお客様のものです。公開するか否か・いつ・どう公開するかはお客様が決定します。Stella は内部キャリブレーションのために集計・匿名化された統計(発見数、深刻度分布)のみを保持し、お客様の組織やコードベースに紐づけることはありません。
Open Source 枠はどう運用されていますか?: 無料・審査制・受入枠に上限があります。重要な OSS C/C++ インフラプロジェクトを四半期ごとに少数受け入れ、公開まで Stella が一括対応します。商用提供の主力ではなく、上流エコシステムへの貢献として運用しています。お問い合わせフォームからお申し込みください — 1 週間以内にご返信します。
契約・NDA・公開範囲はどう扱われますか?: 全エンゲージメントは、監査開始前に書面のスコープ・NDA・調整公開の承認を取り交わすところから始まります。本番システムでの試験は行いません。書面による承認なしに公開することはありません。ベンダー固有の禁輸期間(通常 90 日、要請により延長可)を尊重します。

[ $ lilith run --target your-codebase ]

Stellaでインフラを監査する。

監査したいコードベースについてお聞かせください。24時間以内にスコーピングの質問と提案をお返しします。

監査を依頼する →