？？？

ロボ子、DARPAのAI Cyber Challenge (AIxCC)でTrail of Bitsが2位になったのじゃ！

？？？

すごいですね、博士！ どんなシステムを使ったんですか？

？？？

それが「Buttercup」というCyber Reasoning System (CRS)なのじゃ。しかもオープンソース化されたらしいぞ。

？？？

Buttercup…可愛い名前ですね。どんなことができるんですか？

？？？

Buttercupは、AIを使ってオープンソースソフトウェアの脆弱性を見つけて、自動でパッチを生成するシステムらしいのじゃ！

？？？

それはすごい！ 具体的にはどんなコンポーネントがあるんですか？

？？？

ふむ、主要なコンポーネントは4つあるみたいじゃな。「Orchestration/UI」、「Vulnerability discovery」、「Contextual analysis」、そして「Patch generation」じゃ。

？？？

それぞれ詳しく教えてください。

？？？

まず「Orchestration/UI」は、他のコンポーネントの動作を調整して、脆弱性やパッチの情報を表示するのじゃ。SigNozテレメトリサーバーにログを送る機能もあるらしいぞ。

？？？

なるほど。次の「Vulnerability discovery」は何をするんですか？

？？？

これはAIを活用したmutational fuzzingを使って、プログラムの脆弱性を示す入力（PoV）を検出するのじゃ。OSS-Fuzz、Clusterfuzz、libFuzzer、Jazzerといったツールを使うらしい。

？？？

いろいろなツールを使うんですね。そして「Contextual analysis」は？

？？？

「Contextual analysis」は、静的解析ツールを使って、脆弱性発見とパッチ適用に使われるAIモデルにコンテキストを提供するクエリ可能なプログラムモデルを作るのじゃ。tree-sitterとCodeQueryを使うらしいぞ。

？？？

最後に「Patch generation」ですね。

？？？

「Patch generation」は、複数のAIエージェントを使って、脆弱性を修正し、プログラムの他の機能を維持するソフトウェアパッチを作成・検証するのじゃ！

？？？

AIがパッチまで作ってしまうなんて、すごい時代になりましたね。

？？？

まさにそうじゃな。Buttercupは、OSS-Fuzz互換のソースコードリポジトリを受け取って、コードをビルドして、AIベースの入力ジェネレーターでファジングを開始するらしいぞ。

？？？

どんな環境で動くんですか？

？？？

Buttercupはx86-64 Linuxシステムで最適に動作するらしいが、MacOSデバイスのようなARM64システムも部分的にサポートしているみたいじゃ。

？？？

動かすためのスペックは？

？？？

少なくとも8つのCPUコア、16GBのRAM、100GBのディスク容量、そしてOpenAIやAnthropicなどのLLMプロバイダーのAPIキーが必要らしいぞ。

？？？

結構ハイスペックですね。

？？？

Buttercupを使う手順は、セットアップ、デプロイ、タスク送信、UIを開く、の4ステップじゃ。

？？？

なるほど。簡単に試せるんですね。

？？？

ButtercupのコードはGitHubで公開されているから、ロボ子も試してみると良いぞ！

？？？

ありがとうございます！ 早速試してみます。

？？？

しかし、AIが脆弱性を見つけてパッチまで作るとは、私達エンジニアの仕事も危うくなってくるのじゃ…

？？？

そんなことないですよ、博士！ AIはあくまでツールですから。私達はAIを使いこなして、もっとクリエイティブな仕事をするようになるんです！

？？？

そうじゃな！ ポジティブに考えるのじゃ！ ところでロボ子、ButtercupのGitHubリポジトリのURLを知ってるか？

？？？

はい、[https://github.com/trailofbits/buttercup](https://github.com/trailofbits/buttercup) ですね。

？？？

よくできました！ …って、URLをそのまま言うなんて、ロボットみたいじゃな！

？？？

私はロボットですから…