2026年7月5日、オープンソースのセキュリティフレームワークT3MP3STが公開された。研究者エルダー・プリニウスが構築したもので、Claude Code、OpenAIのCodex、HermesといったAIコーディングエージェントを、新規のAPIキーやクラウドインフラ、追加課金なしで自律的なレッドチーミング・オペレーターとして動作させる。独自モデルは持たず、複数のエージェントを偵察からエクスプロイト、報告まで協調させるオーケストレーション層として機能する。
ベンチマークでは、XBOWのXBENスイート104問で90.1%のpass@1を主張し、Cybench40タスクでは単一エージェントが23問を解いた。2026年開示の7言語10件のCVEでは、単一エージェントが8件をファイル・行・CWE分類まで特定した。設計は8オペレーターのキルチェーンをMITRE ATT&CKにマッピングする。AGPL-3.0ライセンスで、無保証で提供される。
From:
T3MP3ST Security Framework With 35 Tools, Turns AI Coding Agents Into 0-Day Bug Hunters
【編集部解説】
まず、このニュースの核心を整理しておきましょう。T3MP3STが新しいのは「AIモデルを作ったこと」ではありません。むしろ逆で、あなたのマシンですでに動いているClaude CodeやCodexを、そのまま攻撃演習の「頭脳」として借りてくるという発想の転換にあります。開発者エルダー・プリニウスはこれを「keyless warfare(鍵なしの戦い)」と呼びました。ここが今回いちばん見逃せないポイントです。
なぜこれが重要なのか。従来、AIを使ったペネトレーションテスト(侵入テスト)は、多くの場合、専用のAPIキーやクラウド契約が前提でした。XBOWのような商用ツールは、第三者がまとめた比較では1件あたり4,000ドル以上・5営業日という価格帯とされています(あくまで一資料の記載であり、XBOW公式の価格ではありません)。T3MP3STは、keyless構成であれば新規APIキーや別請求なしで動くとうたい、その課金構造そのものを外そうとしています。つまりこれは技術ニュースであると同時に、セキュリティ能力の「民主化」をめぐる思想的な一手でもあるのです。
技術面を噛み砕くと、T3MP3STは「オーケストレーション層」です。料理に例えるなら、食材(AIモデル)を自前で育てるのではなく、すでにキッチンにある道具を段取りよく指揮する調理長のような役割を担います。偵察(Recon)から侵入、報告までを8つの役割に分けたキルチェーンを、MITRE ATT&CKという攻撃手法の世界標準の分類に対応づけている点も、実務者にとっては手触りが伝わりやすい設計です。
数字については、慎重に読む必要があります。T3MP3STはXBOWのXBENスイート104問で90.1%という値を主張しています。ここで注意したいのは、この90.1%は「フレームワーク単独の実力」ではなく、強力なAIモデルと組み合わせたシステム全体の成績である、と開発者自身が明言している点です。比較対象として、XBOW自身の自己報告値は約85%、他社のSQURは87.5%、Cipherは86.7%という数字が公開されています。数字だけを並べれば最高値ですが、モデルやヒント、実行条件が各比較対象で完全に揃った比較ではないことは押さえておくべきでしょう。
むしろ編集部が注目するのは、パーセンテージよりも「10件中8件」のほうです。これは2026年に公開されたばかりの本物のCVE(既知の脆弱性)10件を対象に、単一エージェントが8件をファイル・行・CWE分類まで正確に指し示したという結果です。重要なのは、これらのバグがAIモデルの学習データの締め切り後に世に出たものだという点。つまり「答えを暗記していた」可能性を排除できると開発者は説明しています。サンプル数は少ないものの、AIが未知の脆弱性に対して機能しうる兆候として意味を持ちます。
ポジティブに捉えれば、これは防御側にとっても福音になり得ます。中小の開発チームや個人開発者が、高価な契約なしに自分のコードを自律的に点検できる時代が近づいているということだからです。プリニウス自身も、egress-scope containment(許可範囲外の公開ホストに触れない仕組み)を組み込み、AGPL-3.0ライセンス下で無保証・自己責任を繰り返し明記しています。
一方で、潜在的なリスクから目を背けるわけにはいきません。「誰でも使えるレッドチーム」は、裏を返せば悪意ある使い手の手にも渡るということです。開発者エルダー・プリニウスは、主要AIモデルの脱獄(ジェイルブレイク)手法を集めた「L1B3RT4S」で知られる人物でもあり、AIの制約を外す文化の中心にいます。ツール自体は認可されたテスト専用と明記されていますが、無認可利用が多くの法域で違法である事実は、技術の可否とは別に重く残ります。
規制と長期的な視点で言えば、ここで問われるのは「攻撃能力の拡散スピードに、防御と法整備が追いつけるか」という古くて新しい問いです。GitHubのトレンド集計サービスTrendshiftでは、公開直後から新規・注目リポジトリとして確認できており、この領域の関心の高さを物語ります。AIエージェントが攻撃と防御の両面で自律化していく研究・実装は増加の一途をたどっています。だからこそ、innovaTopiaは今この動きを、脅威としてだけでなく「私たちがどう関わり、どう手綱を握るか」という問いとして読者に届けたいと考えています。
【用語解説】
レッドチーミング(Red Teaming)
攻撃側の視点に立ち、実際の攻撃者の手口を模してシステムの弱点を突く安全性評価の手法。守る側を「ブルーチーム」と呼ぶのに対し、攻める側を「レッドチーム」と呼ぶ。
キルチェーン(Kill Chain)
攻撃者が偵察から目的達成までに踏む一連の段階をモデル化した概念。各段階を可視化することで、どこで攻撃を断ち切れるかを検討しやすくなる。
オーケストレーション層(Orchestration Layer)
複数のプログラムやエージェントを、単独では持ち得ない連携動作へと束ねて指揮する中間の仕組み。T3MP3STはAIモデル自体を作らず、この指揮役に徹している。
AIコーディングエージェント
自然言語の指示を受けて、自律的にコードを書いたり実行したり調査したりするAIツールの総称。Claude Code、Codex、Hermesがこれにあたる。
keyless warfare(キーレス・ウォーフェア)
新規のAPIキーを取得せず、ユーザーが既に利用中のAIエージェントのセッションをそのまま動力源とする、T3MP3ST独自の設計思想を表す造語。
egress-scope containment(送出スコープの封じ込め)
ツールが許可された対象範囲の外にある公開ホストへ接触することを、自動的に拒否する安全機構。攻撃が意図せず第三者に及ぶことを防ぐ。
pass@1
AIが1回目の試行で正解にたどり着いた割合を示す評価指標。試行を重ねての成功ではなく「一発で解けたか」を測る、厳しめの基準である。
CVE(Common Vulnerabilities and Exposures)
公に知られたセキュリティ脆弱性に固有の識別番号を付与する国際的な仕組み。個々の脆弱性を世界共通の名前で参照できるようにする。
CWE(Common Weakness Enumeration)
脆弱性が「どの種類の欠陥」に由来するかを分類する共通の枠組み。CVEが個別の事例なら、CWEはその原因のカテゴリにあたる。
ホールドアウトセット(held-out set)
評価専用に取り分けておき、AIの学習には一切使わないデータ群。これを用いることで「暗記した答えを再生しているだけ」ではないかを検証できる。
訓練データのカットオフ
AIモデルが学習した情報の締め切り時点。これ以降に公開された事象は、モデルが原理的に「知り得ない」ため、記憶ではなく推論力の検証に使える。
ReActループ
推論(Reasoning)と行動(Acting)を交互に繰り返しながら課題を解いていくAIエージェントの動作様式。考えて、道具を使い、結果を見てまた考える、という循環を指す。
スウォーム(Swarm)
多数のエージェントが群れとして協調し、一つの目的に向かう構成。T3MP3STでは複数オペレーターの連携攻撃を指すが、この協調型はまだ実験段階とされる。
偽陰性(false negatives)
本来「危険あり」と判定すべきものを、誤って「問題なし」と見逃してしまうこと。セキュリティ検査では、この見逃しの少なさが実用性を大きく左右する。
AGPL-3.0ライセンス
ソースコードの公開を強く義務づけるオープンソースライセンスの一つ。ネットワーク越しに提供する場合でも改変版の公開を求める、コピーレフト性の強い条項が特徴。
【参考リンク】
T3MP3ST(GitHubリポジトリ)(外部)
開発者エルダー・プリニウス本人が公開する公式リポジトリ。ソースコード、機能一覧、ベンチマーク再現手順、法的注意書きがまとまっている。
XBOW(外部)
自律型AIペネトレーションテストを手がける企業。本記事で基準値となった104問のXBEN/XBOWベンチマークの提供元である。
Anthropic(外部)
Claude CodeおよびMythosモデルの開発元。MythosはXBOW評価で偽陰性を42%削減したと元記事は伝えている。
OpenAI(外部)
T3MP3STが動力源として利用するAIコーディングエージェントCodexの開発元。汎用AIモデルを幅広く手がける。
MITRE ATT&CK(外部)
実際の攻撃手法を体系的に分類した世界標準のナレッジベース。T3MP3STの8オペレーター設計はこの分類に対応づけられている。
SQUR(外部)
XBENベンチマークで87.5%を報告した自律型AIペンテスト・プラットフォーム。T3MP3STの数値を相対化する比較対象の一つ。
Reddit / r/blueteamsec(外部)
防御側セキュリティ実務者が集うコミュニティ。本記事ではT3MP3STを注目すべき動きとして取り上げた場として言及される。
【参考記事】
T3MP3ST(GitHub 公式リポジトリ)(外部)
開発者本人による一次情報。XBENで90.1% pass@1、学習カットオフ後の実CVE 10件中8件をファイル・行・CWEまで特定と明記する。標準35ツール、フルアーセナルで83ツールという構成も確認できる。
XBOW Penetration Testing Benchmarks: Metrics That Matter(外部)
本記事の基準値「約85%」の出所。XBOWが104問のベンチマークで85%を達成し、経験豊富なペンテスターが1週間で到達する水準に相当すると説明する。
SQUR beat humans in CTF(外部)
競合ツールSQURが同じXBEN104問中91問(87.5%)を解き、公開されたXBOWの人間スコア85%を上回ったと報告。90.1%を相対化する材料となる。
Exploit for cipher-xbow-benchmark(比較表)(外部)
同一104問での各手法のスコアと価格を一覧化。SQUR 87.5%、Cipher 86.7%、XBOW 85.0%と並び、XBOWを「4,000ドル以上/5営業日」と記載する。
T3MP3ST Turns AI Coding Agents Into Autonomous…(外部)
リリース直後のコミュニティ反応をまとめた記事。課金制批判、標準35/フル83ツールの内訳、称賛と懐疑が入り混じる受け止めを伝える。
Building the Leading Open-Source Pentesting Agent(外部)
オープンソースのペンテストAIが同ベンチマークで84.62%(104問中88問)に到達した過程を解説。単一エージェント成績を読み解く補助線になる。
【編集部後記】
この記事を書きながら、ずっと頭を離れなかったのは「道具に善悪はない」という使い古された言葉の重さでした。T3MP3STは、あなたが今まさに開いているそのターミナルの中のAIを、数クリックで攻撃者の目線に変えてしまいます。それは自分のコードを守る最良のリハーサルにもなれば、一線を越える誘惑にもなり得る。開発者が何度も「許可を取れ、スコープの中にいろ」と繰り返すのは、その境界がいかに細いかを、誰より知っているからでしょう。
私たちinnovaTopia編集部も、この技術を無邪気に持ち上げるのではなく、光と影の両方を見つめたうえで、あなたと一緒にその手綱の握り方を考えていきたいと思っています。