3
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

フロンティアAIの時代における脆弱性診断・ペネトレーションテストのあり方

3
Posted at

要旨

2026年4月7日、Anthropicはある発表を行い、セキュリティ業界に衝撃を与えました。新たなフロンティアモデル「Claude Mythos Preview」が、主要OS・主要ブラウザのゼロデイ脆弱性を「数千件」自律的に発見し、動作する悪用コードまで生成したというのです。なかには27年前に埋め込まれたOpenBSDの欠陥や、500万回の自動テストをかいくぐり続けた16年前のFFmpegのバグが含まれていました[1][2]。あまりに危険すぎるとして、このモデルは一般公開されていません。

同じ2026年、EU圏では金融機関に対しTLPT(脅威主導型ペネトレーションテスト)を法的に義務付けるDORAが完全施行され[3]、Gartnerは「2027年までに大企業のペネトレーションテスト活動の40%超がAI支援自動化を組み込む」と予測しています[4]。Bugcroudの調査では、ハッカーの82%がすでにAIツールを日常業務に使っていると回答しており、2023年時点の64%から急増しています[5]。

本記事では、セキュリティエンジニアの実務視点から、フロンティアAIが脆弱性診断・ペネトレーションテストをどう変えるのかを多角的に論じます。「AIがペンテスターを置き換えるか」という二項対立を超え、診断業務・規制要件・キャリア形成のそれぞれで何が変わり、何が変わらないのかを整理します。


記事本文

1. 転換点としてのClaude Mythos——ゼロデイ発見の自律化が意味するもの

1-1. Claude Mythos Previewが示した能力の閾値

2026年4月7日のAnthropic発表を、セキュリティ業界の多くが「単なる性能向上ではなく、質的な閾値越え」と評価した理由は具体的な実績にあります。

英国AI安全研究所(AISI)が独立検証した結果、Claude Mythos Previewは専門家レベルのCTF(Capture The Flag)課題を73%解決しました。この難易度水準のタスクを解けるAIは、2025年4月以前には存在しませんでした[1]。

"AI models have reached a level of coding capability where they can surpass all but the most skilled humans at finding and exploiting software vulnerabilities."
— Anthropic(Claude Mythos Preview 発表文より引用)[2]
https://www.contrastsecurity.com/glossary/mythos-ai

発見された脆弱性の具体例として、FreeBSD NFS serverの17年物の未認証RCE(CVE-2026-4747)があります。このバグに対してMythosは、20ガジェットのROPチェーンを複数のネットワークパケットに分割して構成するという、人間の一流研究者に匹敵する搾取コードを人間の介入ゼロで生成しました[2]。

"Claude Mythos Preview threatens to collapse the window between vulnerability discovery and weaponization from weeks to hours — a shift widely expected to be permanent."
— Dynatrace Blog, "How Anthropic Claude Mythos is reshaping the vulnerability landscape" [6]
https://www.dynatrace.com/news/blog/how-anthropic-claude-mythos-is-reshaping-the-vulnerability-landscape/

1-2. Project Glasswingと防御側の連帯

Anthropicはモデルの危険性を認識し、一般公開ではなくProject Glasswingという枠組みで限定展開を選びました。AWS・Apple・Google・Microsoft・NVIDIA・CrowdStrike・Linux Foundationなど、クリティカルインフラを担う組織12社を初期パートナーとして、このモデルをOSSの脆弱性発見・修正に活用するというアプローチです[2]。これは「モデルを公開する前に防御側を先行強化する」という倫理的判断として注目されています。

"The model has identified thousands of high-severity zero-day vulnerabilities, including flaws in every major operating system and every major web browser. Many of those vulnerabilities survived decades of human review and millions of automated security tests."
— Cloud Security Alliance, "Claude Mythos: AI Vulnerability Discovery and Containment Failures" [1]
https://labs.cloudsecurityalliance.org/research/ai-vuln-discovery-containment-claude-mythos-v1-0-csa-styled/

1-3. 脆弱性発見から悪用までの時間が「1時間未満」へ

zerodayclock.comの脅威インテリジェンスダッシュボードによると、脆弱性発見から悪用までの中央値は2018年の771日から2024年時点で4時間未満まで短縮されており、2025年には公開開示前に悪用される事例が多数を占め、2026年は1時間未満に達すると予測されています[7]。

この「発見→武器化」の崩壊が、年1〜2回の点的診断を根幹から揺るがしています。

従来の脆弱性サイクル(2018年):
  発見 ──────────────────── 771日 ──────────────────── 悪用

現在(2026年):
  発見 ── 数時間 ── 悪用

フロンティアAI(Claude Mythos以降):
  発見 ─ 1時間未満 ─ 悪用(自律的なエクスプロイト生成含む)

2. AI時代のペネトレーションテスト——何が変わり、何が変わらないのか

2-1. AIが「代替できる」領域

PentestPadが2026年5月に発表したレポートは、実務的な視点から整理された現状を示しています。

"AI hasn't replaced penetration testers. It hasn't made security testing a solved problem. What it has done is quietly and substantially change how skilled security professionals work: what they spend time on, how much ground they can cover, and how quickly findings turn into finished reports."
— PentestPad, "How AI Is Changing Penetration Testing in 2026 (And What It Still Can't Do)" [4]
https://www.pentestpad.com/blog/ai-in-pentesting-2026

Bishop FoxはAIツール導入により、中規模スコープのエンゲージメントで報告書提出までの時間が35%短縮されたと報告しており、節約のほとんどは偵察フェーズから生まれています[4]。

AIが実質的に代替・補完できる業務領域を整理します。

業務 AI活用の効果 具体例
偵察・アタックサーフェス探索 大幅な効率化 Shodan統合・サブドメイン列挙・ポートスキャン解釈
既知パターンの脆弱性スキャン スケール・速度 XSS/SQLi/既知CVEの自動検証
コマンド生成・ツール操作 認知負荷軽減 nmapオプション・sqlmapフラグの自動生成
調査結果の文書化 大幅な時短 発見事項のCWE分類・再現手順・ビジネス影響の初稿
レポートドラフト作成 均質化・高速化 構造化フォーマットへの自動整形
継続的モニタリング 疲弊なしの常時実行 変更検知・デルタスキャン

2-2. AIが「代替できない」領域——人間の判断が残る理由

Dark Readingは2026年6月、HackerOneのサンディープ・シン氏の発言を引用して重要な指摘をしています。

"These systems generate an enormous volume of data, and it takes an experienced mind to shape the context the LLM produces. A human expert is needed to decide whether a lead is worth pursuing, and if it is, to work out what the full, validated attack chain looks like. That judgment is exactly what gets missed when you take the human out."
— Dark Reading, "AI Decline? Confidence Falls in Autonomous Penetration Testing" [8]
https://www.darkreading.com/cybersecurity-operations/ai-decline-confidence-autonomous-penetration-testing

同記事では、CISOたちが1年間のAIペンテストツール導入を経てツールの有効性への信頼が下がったことも報告されています。「AIが補助・増幅する」と「AIが代替する」を混同した市場の揺り戻しです。

人間の判断が依然として本質的な業務を整理します。

① ビジネスコンテキストの評価

AIはパラメータがIDOR脆弱かもしれないと認識できます。しかし、そのパラメータの背後にあるオブジェクトが「この会社・このデプロイメント・このロール構造・このリリースサイクルにおいて」本当に機密性が高いかどうかを判断することは、現在のAIには信頼できる形ではできません[9]。

② 脆弱性チェーンの発見

個別には低〜中程度の深刻度に見える3つの問題が、正しい順序で組み合わさると完全なシステム乗っ取りにつながるケース——これを発見するには横断的な思考・文脈理解・創造的な敵対的推論が必要です[10]。

③ 未知の攻撃手法への対応

AIは訓練データに含まれていない攻撃手法を識別できません。最も重要な発見はしばしば、特定環境に固有のクリエイティブな思考から生まれます[10]。

"AI expands the search space. Humans make the judgment calls. The pentester of the near future spends less time enumerating and more time reasoning. Less time repeating known techniques and more time thinking adversarially."
— Terra Security, "What Does AI Actually Replace in a Penetration Test?" [11]
https://www.terra.security/blog/what-does-ai-actually-replace-in-a-penetration-test

2-3. 2026年のハイブリッドモデル——「AI-first, Human-Validated」

RSAC 2026でSynackらが提示したコンセンサスは明確でした。

"The future of penetration testing lies in a hybrid model, where AI provides scale and speed while humans deliver judgment and context."
— Security Boulevard, "At RSAC 2026, AI Redefines the Future of Penetration Testing" [12]
https://securityboulevard.com/2026/04/at-rsac-2026-ai-redefines-the-future-of-penetration-testing/

Cloud Security Allianceの定式化は「AI-first, human-validated」です。エージェントが幅・頻度・繰り返し探索を担い、人間が高リスク分岐・曖昧性の解決・システム横断の脆弱性連鎖・ビジネスコンテキスト・認可境界・最終サインオフを担う構造です[9]。

ハイブリッドペネトレーションテストモデル(2026年)

フェーズ1:自動探索(AI主導)
├── アタックサーフェス列挙
├── 既知パターン脆弱性スキャン
├── 継続的変更差分検知
└── 初期仮説の生成

フェーズ2:仮説駆動の深掘り(人間主導 + AI支援)
├── AIが提示した仮説の選別・優先付け
├── ビジネスロジック脆弱性の手動検証
├── マルチシステム連鎖エクスプロイトの構成
└── 未知攻撃手法の適用

フェーズ3:報告・改善(Human-in-the-Loop)
├── AIドラフトのレビュー・補正
├── ビジネスリスクの文脈化
├── 改善策の優先付け
└── 最終サインオフ(法的責任の明確化)

3. AIアプリ自体が「新たな診断対象」になる

3-1. 従来のペネトレーションテストとAIペネトレーションテストの違い

OffSecが2026年6月に発表したレポートは、AIアプリのペネトレーションテストが従来の手法と本質的に異なることを指摘しています。

"Traditional pentests typically focus on weaknesses in software, infrastructure, authentication mechanisms, and access controls. AI pentests focus on weaknesses in model behavior, instructions, training data, and tool interactions. Many of these vulnerabilities have no direct equivalent in traditional security testing."
— OffSec, "AI vs Traditional Penetration Testing: What Changes in 2026" [13]
https://www.offsec.com/blog/ai-penetration-testing-vs-traditional-penetration-testing/

同レポートが示す「AIアプリ固有の攻撃対象」を整理します。

攻撃対象 脆弱性クラス 従来テストとの対応
LLMへの入力 プロンプトインジェクション(ダイレクト/インダイレクト) なし
システムプロンプト システムプロンプト漏洩(OWASP LLM07) なし
RAGナレッジベース ベクトル汚染・RAGポイズニング(OWASP LLM08) なし
AIエージェントのツール呼び出し 過剰なエージェント権限(OWASP LLM06) 最小権限違反に対応
学習データ データ・モデル汚染(OWASP LLM04) サプライチェーン攻撃に対応
エンベディングモデル 意味論的類似性の悪用 なし
マルチエージェントパイプライン エージェント間信頼の欠如 なし

3-2. エージェントAIが生む新規リスクシナリオ

regulated industries向けのAIペネトレーションテストに関するpromptHaloの2026年6月レポートは、実際に起こりうる危険なシナリオを例示しています。

"Consider two examples: an AI agent that autonomously initiates a payment after a prompt injection, or a healthcare agent that retrieves PHI outside its authorized scope through a poisoned RAG retrieval step. Neither vulnerability shows up in a conventional vulnerability scan."
— PromptHalo, "AI Penetration Testing Trends in Regulated Industries 2026" [14]
https://www.prompthalo.ai/feeds/blog/ai-penetration-testing-regulated-industries

Gartnerは2026年末までに企業アプリケーションの40%がタスク固有のAIエージェントを搭載すると予測しており(2025年比5%未満から急増)、PwCの調査では308人の米国エグゼクティブのうち79%がすでにAIエージェントを採用しながら、金融トランザクションをエージェントに任せると回答したのはわずか20%でした[14]。

この「信頼ギャップ」こそ攻撃者が突く場所です。

3-3. AIアプリのペネトレーションテスト——テストすべき「アクションチェーン」

AI搭載アプリをテストする際の基本フレームは「モデルを攻撃する」ではなく「アクションチェーン全体をテストする」です[9]。

AIアプリのアクションチェーンとテストポイント

ユーザー入力
    │
    ▼ ← [テスト1] プロンプトインジェクション(ダイレクト)
RAG / ツール呼び出し
    │
    ▼ ← [テスト2] インダイレクトインジェクション(外部コンテンツ内)
         ← [テスト3] ベクトルDB汚染・検索ポリシー
プロンプト組み立て
    │
    ▼ ← [テスト4] システムプロンプト漏洩
LLM 推論
    │
    ▼ ← [テスト5] 過剰な権限でのツール呼び出し
出力 / ツール実行
    │
    ▼ ← [テスト6] 後段システムへの不適切な出力流入(XSS/SQLi等)
         ← [テスト7] 機密情報の漏洩(PII・API鍵)
人間承認境界
    │
    ▼ ← [テスト8] Human-in-the-Loopの欠如・迂回可能性

4. TLPT(脅威主導型ペネトレーションテスト)の義務化——DORAとTIBER-EUが変える規制環境

4-1. DORAによるTLPT義務化の概要

2025年1月17日、EU圏の金融エンティティに対してDORA(Digital Operational Resilience Act)が完全適用されました。その核心の一つが、Article 26〜27で定められるTLPTの義務化です[3]。

"TLPT is a material investment. Budget planning should begin at least 18 months before the test to secure provider capacity and obtain board-level budget approval."
— regulation-dora.eu, "DORA TLPT: Threat-Led Penetration Testing Requirements 2026" [3]
https://www.regulation-dora.eu/tlpt

市場価格の目安(2025〜2026年時点):

項目 費用目安
脅威インテリジェンス(TTI)レポート €50〜150K
レッドチーム実行(8〜12週間) €120〜320K
ホワイトチーム調整・法務・規制連絡 €30〜80K
合計 €200〜550K

4-2. 従来のペンテストとTLPTの根本的な違い

観点 従来のペネトレーションテスト TLPT(脅威主導型)
動機付け 既知の脆弱性を探す 実在する脅威アクターのTTPを再現
対象環境 多くの場合ステージング可 本番環境が必須(DORAで明記)
防御側の認知 通常、対象組織は知っている ブルーチームは非公開で実施
頻度 年1〜2回が一般的 最低3年に1回(義務)
規制関与 原則なし 所管当局への報告・完了証明書が必要
方法論 自由 TIBER-EUフレームワーク準拠

"Intelligence-led red-team tests mimic the tactics, techniques, and procedures (TTPs) of real-life threat actors who, on the basis of threat intelligence, are perceived as posing a genuine threat."
— ECB TIBER-EU SSM Implementation Guide, November 2025 [15]
https://www.bankingsupervision.europa.eu/ecb/pub/pdf/ssm.supervisory_guide202511.en.pdf

4-3. TIBER-EUの5フェーズとパープルチーミングの義務化

2025年2月のTIBER-EUフレームワーク更新では、DORAとのアライメントが図られ、パープルチーミングが必須化されました[16]。

TIBER-EU 5フェーズ(2025年更新版)

フェーズ1:準備(Preparation)
  └── TLPT Cyber Team(TCT)設置:CISO・テクリスク・コンプライアンス代表
      ルールオブエンゲージメント策定
      スコープ(重要機能・ICTサードパーティ)の定義

フェーズ2:脅威インテリジェンス(Threat Intelligence)
  └── 独立した脅威インテリジェンスプロバイダーがTTIレポートを作成
      組織を実際に狙う脅威アクターのTTPを特定

フェーズ3:レッドチームテスト(Red Team Testing)
  └── 本番環境でのステルス攻撃シミュレーション
      ブルーチームは非公開(実運用の検知能力を評価)

フェーズ4:クロージャー(Closure)
  └── パープルチーミング:レッドとブルーが協調して防御改善

フェーズ5:報告(Reporting)
  └── 所管当局への報告
      完了証明書の取得(3年サイクルの起点)

日本においてTLPTは義務ではないものの、金融庁の「金融セクターにおけるサイバーセキュリティに関するガイドライン(2024年)」は重要金融機関への脅威主導型テストの実施推奨を明記しており、国際動向と軌を一にしています。


5. セキュリティエンジニアのキャリアへの影響——「何を磨くか」

5-1. 市場シグナルが示す現実

Dark Readingが2026年6月に報告した数字は示唆的です。MicrosoftはAI発見の欠陥を受けて2026年6月のPatch Tuesdayで過去最多の206のCVEをパッチしました。この「発見量の爆発」が新たなボトルネックを生んでいます——人間によるAI発見脆弱性の検証です[8]。

JobZoneRiskの2026年6月データによると、OSCPレベルのミッドクラスペネトレーションテスターの求人は1,000件超を維持しており、平均年収は$119,895(米国)と安定。BLSは情報セキュリティアナリストの2023〜2033年の雇用成長率を33%と予測しています[17]。

「AIがペンテスターを置き換える」という単純な話ではなく、より正確には「エントリーレベルの走査・スキャン業務は縮小し、中〜上位のクリエイティブな搾取・助言業務は成長する」という二層化が進んでいます。

5-2. 今後3〜5年で価値が高まるスキルセット

"The practitioners who are pulling ahead are the ones who've learned to use AI as a force multiplier on top of deep technical fundamentals. Allowing them to cover more surface area, spending less time on documentation, and focusing their human attention where it actually matters."
— PentestPad [4]
https://www.pentestpad.com/blog/ai-in-pentesting-2026

実務で価値が高まるスキルを整理します。

① AI・LLMアプリのセキュリティテスト能力

AIエージェントが40%の企業アプリに搭載される世界では、OWASP LLM Top 10・プロンプトインジェクション・RAGポイズニング・マルチエージェント信頼境界を評価できるエンジニアは希少かつ高付加価値です。

② 脆弱性連鎖の構成力(Exploit Chaining)

AIがスキャン幅を広げれば広げるほど、「3つの低〜中深刻度の問題を組み合わせたクリティカルなチェーン」を見つけるための横断的思考と創造的な敵対的推論の価値は上がります。

③ ビジネスリスクの文脈化能力

技術的な発見をビジネスインパクト・規制リスク・改善優先度に翻訳するコミュニケーション能力は、AIが最も不得手とする領域です[18]。

④ TLPT対応力(脅威インテリジェンスとレッドチーミングの統合)

DORAのTLPT義務化は日本の金融機関にも影響が及ぶ可能性があります。脅威インテリジェンスに基づくTTP再現・本番環境での攻撃シミュレーション・パープルチーミングファシリテーションは、高度かつ専門性の高い業務です。

⑤ AIツールオーケストレーション能力

逆説的ですが、AIを使いこなせないペンテスターは競争力を失います。LLMエージェントのオーケストレーション・AIツールへの意味のある指示・出力の批判的評価は、今後の基礎スキルです。

5-3. 「Human-in-the-Loopの設計者」としてのペンテスター

最終的に、フロンティアAI時代のペネトレーションテスターに求められる本質的な役割は変わっていないと筆者は考えます。それは**「攻撃者の視点で考え、システムの弱点を見つけ出し、組織が改善できるように伝える」**こととです。AIは速度とスケールをもたらしますが、「何が重要か」「どのリスクを先に直すべきか」「この発見がこの組織にとって本当に危険なのか」という判断は依然として人間の責任領域です。

"AI-first, human-validated. That line matters because it locates the control handoff exactly where it belongs. Agents can widen coverage, increase cadence, and handle repetitive exploration. Humans remain responsible for high-risk branching, ambiguity resolution, exploit chaining across systems, business context, authorization boundaries, and final sign-off."
— Cloud Security Alliance(penligent.ai経由) [9]
https://www.penligent.ai/hackinglabs/pentest-ai-what-actually-matters-in-2026/


6. まとめ——2026年の診断業務で「今すぐやるべきこと」

本記事の議論を整理します。

変化の軸 変わること 変わらないこと
診断の対象 AIアプリ・エージェントが新規対象として加わる Webアプリ・AD・クラウドは引き続き主要対象
診断の速度 AI支援により偵察・文書化が大幅高速化 脆弱性連鎖の発見・ビジネスリスク評価は人間の仕事
診断の頻度 継続的検証モデルへの移行が加速 重要タイミングでの深い人間主導テストは不可欠
規制要件 TLPT義務化など規制強化が進む リスクベースアプローチの本質は変わらない
必要スキル AI活用・LLMセキュリティ・TLPT対応が重要化 深い技術的基礎・攻撃者思考・文脈理解は不変

セキュリティエンジニアが今すぐ取るべきアクション:

  1. OWASP LLM Top 10(2025版)を読む——自社サービスへのAI統合が加速している今、LLMアプリの診断対象を把握する
  2. AIツールを実際に使う——Burp Suite AI・AI統合偵察ツールを自分のワークフローに組み込み「何ができて何ができないか」を体感する
  3. 脆弱性連鎖の実践力を磨く——AIがスキャンできる範囲が広がるほど、チェーン発見の価値は上がる
  4. TLPTの動向を追う——日本でも金融機関を中心に義務化の波が来る可能性がある。TIBER-EU・DORA・金融庁ガイドラインを定期的に確認する
  5. ビジネスリスクの言語を身につける——技術的発見をビジネスインパクトに翻訳する能力が、AIと人間を差別化する最大の軸になる

参考文献

[1] Cloud Security Alliance AI Safety Initiative. "Claude Mythos: AI Vulnerability Discovery and Containment Failures." Version 1.0, April 2026.
https://labs.cloudsecurityalliance.org/research/ai-vuln-discovery-containment-claude-mythos-v1-0-csa-styled/

[2] Contrast Security. "What Is Mythos AI? Autonomous Exploits and AppSec Defense." June 2026.
https://www.contrastsecurity.com/glossary/mythos-ai

[3] regulation-dora.eu. "DORA TLPT: Threat-Led Penetration Testing Requirements 2026." May 9, 2026.
https://www.regulation-dora.eu/tlpt

[4] PentestPad. "How AI Is Changing Penetration Testing in 2026 (And What It Still Can't Do)." May 4, 2026.
https://www.pentestpad.com/blog/ai-in-pentesting-2026

[5] AppSec Santa. "AI Pentesting Agents 2026: The Rise of 39+ Tools Tested." June 10, 2026.
https://appsecsanta.com/research/ai-pentesting-agents-2026

[6] Dynatrace. "How Anthropic Claude Mythos is reshaping the vulnerability landscape." May 21, 2026.
https://www.dynatrace.com/news/blog/how-anthropic-claude-mythos-is-reshaping-the-vulnerability-landscape/

[7] Bishop Fox. "Anthropic's Claude Mythos Preview: The AI Cybersecurity Inflection Point." April 14, 2026.
https://bishopfox.com/blog/anthropics-claude-mythos-preview-the-ai-cybersecurity-inflection-point

[8] Dark Reading (Rob Lemos). "AI Decline? Confidence Falls in Autonomous Penetration Testing." June 2026.
https://www.darkreading.com/cybersecurity-operations/ai-decline-confidence-autonomous-penetration-testing

[9] Penligent AI. "Pentest AI, What Actually Matters in 2026." 2026.
https://www.penligent.ai/hackinglabs/pentest-ai-what-actually-matters-in-2026/

[10] Exploitr. "AI Penetration Testing Risks: What Buyers Need to Know." March 14, 2026.
https://exploitr.com/articles/ai-penetration-testing-risks/

[11] Terra Security. "What Does AI Actually Replace in a Penetration Test?" May 26, 2026.
https://www.terra.security/blog/what-does-ai-actually-replace-in-a-penetration-test

[12] Security Boulevard. "At RSAC 2026, AI Redefines the Future of Penetration Testing." April 2026.
https://securityboulevard.com/2026/04/at-rsac-2026-ai-redefines-the-future-of-penetration-testing/

[13] OffSec. "AI vs Traditional Penetration Testing: What Changes in 2026." June 2026.
https://www.offsec.com/blog/ai-penetration-testing-vs-traditional-penetration-testing/

[14] PromptHalo. "AI Penetration Testing Trends in Regulated Industries 2026." June 2026.
https://www.prompthalo.ai/feeds/blog/ai-penetration-testing-regulated-industries

[15] European Central Bank. "TIBER-EU Guide — How to implement the TIBER-EU framework for the DORA TLPT." November 2025.
https://www.bankingsupervision.europa.eu/ecb/pub/pdf/ssm.supervisory_guide202511.en.pdf

[16] regulation-dora.eu Blog. "TIBER-EU Framework Updated for DORA: New TLPT Testing Requirements Explained." April 16, 2026.
https://www.regulation-dora.eu/blog/tiber-eu-framework-dora-tlpt-testing-2025

[17] JobZone Risk. "Will AI Replace Penetration Tester Jobs?" June 2026.
https://jobzonerisk.com/roles/penetration-tester

[18] Secdesk. "How will AI impact penetration testing in 2026?" April 6, 2026.
https://secdesk.com/how-will-ai-impact-penetration-testing-in-2026/

[19] Cloud Security Alliance. "Claude Mythos and the AI Autonomous Offensive Threshold." April 14, 2026.
https://labs.cloudsecurityalliance.org/research/csa-research-note-claude-mythos-autonomous-offensive-thresho/

[20] vaadata.com. "TLPT: Threat-Led Penetration Testing — Objective and Methodology." June 9, 2026.
https://www.vaadata.com/en/blog/tlpt-threat-led-penetration-testing-objective-and-methodology/

3
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
3
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?