「Takumi byGMO」、自動修正機能を正式リリース。脆弱性の検出から修正までAIエージェントが一気通貫で対応

～AIが脆弱性を見つけ、AIが脆弱性を修正する時代へ～

GMO Flatt Security株式会社

2026年2月5日 09時50分

　GMOインターネットグループで「エンジニアの背中を預かる」をミッションに、プロダクト開発組織に向けたサイバーセキュリティ関連事業を展開するGMO Flatt Security株式会社（代表取締役社長：井手康貴　以下、GMO Flatt Security）は、2026年2月5日（木）より、セキュリティ診断AIエージェント「Takumi byGMO（以下、Takumi）」の「自動修正機能」を正式に提供開始しました。これにより、脆弱性の検出から修正までを一貫してAIが担うことで、開発者の負担を軽減し、より安全なソフトウェア開発サイクルの実現が可能になります。
　なお、本機能は全ての「Takumi」ユーザーの皆様が、追加料金やプラン変更は必要なく月ごとの利用枠内で自由に利用可能です。

セキュリティ診断AIエージェント「Takumi」とは

　「Takumi」はGMO Flatt Securityが開発した、セキュリティ業務に特化したAIエージェントです。近年飛躍的に向上したAIの脆弱性検知能力を最大限引き出し、既存の自動脆弱性診断ツールでは検出が難しい「認可制御不備」や「ロジックの脆弱性」といった脆弱性も高精度で検知します。ブラックボックス診断（DAST／動的解析）・ホワイトボックス診断（SAST／静的解析）を使い分けられるほか、ソースコードの更新差分の定期診断や対象範囲を絞っての診断も可能であり、ソフトウェア開発組織における多様なユースケースに対応します。

・「Takumi」Webサイト：https://flatt.tech/takumi

自動修正機能とは

　セキュリティ診断で検出された脆弱性を対象に、「Takumi」が自動的に修正のためのパッチを生成し、GitHub Pull Requestを作成する機能です。これまで、「Takumi」が検出した脆弱性は「Takumi」を利用する各企業のエンジニアが修正したり、別途コーディングAIエージェントに修正を依頼したりする必要がありました。本機能により最終レビュー以外は、一気通貫で「Takumi」に任せることができます。

自動修正機能開発の背景

　近年のAIの性能向上により、これまで自動脆弱性診断ツールでは検出が難しかった「認可制御不備」や「ロジックの脆弱性」といった脆弱性を含めて自動的な検出が可能になりました。中でもセキュリティ特化のAIエージェントとして開発された「Takumi」はGMO Flatt Security独自のデータセットに対して行ったベンチマーク（*1）において96.2%の検知率を記録しています。

(※1)性能ベンチマーク資料のダウンロードはこちら：https://flatt.tech/takumi/form/benchmark

　しかし、このような高精度の脆弱性検出は脆弱性への対応工数の純粋な増加をも意味します。このような負担を軽減し、堅牢性を保ったままAI時代に即した高速な開発サイクルの構築を支援するために自動修正機能の開発に至りました。

機能詳細

1. ホワイトボックス診断・ブラックボックス診断の双方から利用可能

　ホワイトボックス診断機能・ブラックボックス診断機能のどちらからも、「Takumi」が検出した脆弱性の情報を自動修正機能へとシームレスに受け渡すことができます。実際の画面上の操作としては、ある診断で検出された脆弱性のうち修正したいものをプルダウンメニューで選択し、出力言語（日本語または英語）とリポジトリを指定するだけで修正案の作成を開始することが可能です。

2. 修正案を複数回アップデート可能。内容を確認してからPRを作成

　「Takumi」が作成した修正案に対して、繰り返し再作成を依頼することができます。作成されたそれぞれの修正案は一覧として確認可能であり、最も望ましい案でPull Requestを作成します。

3. ユニットテストも自動作成。修正内容の正当性を保証

　「Takumi」が作成する修正案はユニットテストや変更内容・修正の根拠を含むレポート文章と共に作成され、最終工程を担うレビュアーの人間の負担を最小限にしています。

自動修正機能の利用方法

　本日より全ての「Takumi」ユーザーの皆様が利用できます。追加料金やプラン変更は必要なく、月ごとの利用枠内で自由に利用可能です。詳細な利用手順はユーザーガイドをご覧ください。

・自動修正機能ユーザーガイド：https://shisho.dev/docs/ja/t/features/autofix/

ご試用いただいた皆様の声

　正式リリースに先立ち、自動修正機能をお試しいただいた皆様のお声をご紹介いたします。

■ 株式会社ゲームエイト CTO 伊林義博様

Takumiの自動修正機能を先行体験しました。診断結果として「どこが問題で、どう直すべきか」が示されるだけでなく、修正パッチとテストコードが生成され、Pull Requestという具体的なアクションまで落とし込まれる点が非常に有用だと感じています。修正内容を確認したうえでPRを作成できるため、既存の開発フローにも無理なく組み込めました。長時間稼働するTakumiならではの網羅性によって複数の指摘を一括で修正でき、実際にいくつかの問題をそのまま取り込んで改善につなげることができました。

■ 株式会社hacomono セキュリティ部セキュリティエンジニア徐承賢様

従来のホワイトボックス診断では、検出された脆弱性の影響調査と、修正案を開発サイドに説明するコストが課題でした。しかし、自動修正機能はソースコードを深く解析した上で、コンテキストに沿った修正を自動提案してくれます。

・工数削減: 修正コードの検討時間がほぼゼロになり、レビューに集中できる。

・確実性: 人為的な修正ミスを防ぎつつ、セキュアなコーディング規約を浸透させやすい。

「脆弱性を管理する」立場からすれば、トリアージからパッチ適用までのMTTR（平均修復時間）を劇的に短縮できる、極めて実践的なソリューションだと感じました。

■ Sansan株式会社プロダクトセキュリティグループ北澤亮太様

脆弱性対応の適切な実装を行ってくれるのは勿論ですが、対応が適切であるかを確認するインテグレーションテストまで同時に実装されるのは驚きでした。テストの整備が行われることで、開発者によるチェックだけでなく、デグレによる脆弱性の再発の防止が可能になります。これはコード品質にもプラスの影響を与えてくれるだろうと感じました。

Takumi によって開発組織自らが脆弱性対応を自走しつつ、より新機能開発に集中可能になることを期待しています。

■ 株式会社パートナープロップ Head of Engineering 下司宜治様

私たちは今、Takumiを使用した脆弱性診断を週に2回行っています。長期間継続し続けている影響で新規のコードに対する脆弱性はほぼ含まれなくなっていました。一方で既に運用中の機能に対してはどのように実施するのかや、修正作業に関してはどういう風にやるかを迷っていた部分があります。一部分だけの診断が出来たり、全体に対しての診断が出来ることで診断自体の柔軟性も高いなと感じています。

また、自動修正タスクが動くことで、「この脆弱性はどのように直すのが妥当か」「既存コードにどう影響するか」といった修正方針のたたき台が明確になりました。結果として、修正の検討にかかる時間が減り、レビューも「正しいかどうか」ではなく「より良くするにはどうするか」に集中できるようになったと感じています。

今後の展望

　今後もGMO Flatt Securityはコーポレートミッション「エンジニアの背中を預かる」の通り、ソフトウェア開発者の皆様が安心して開発に専念できるよう「Takumi」の開発に取り組んでまいります。

GMO Flatt Security株式会社について

　GMO Flatt Securityは「エンジニアの背中を預かる」をミッションに、業界を問わずDX推進・ソフトウェア開発のセキュリティを支援してきた、日本発のセキュリティプロフェッショナル企業です。セキュリティ製品の自社開発や様々な企業へのセキュリティ支援、徹底したユーザーヒアリングを通じて得た知見を元に、一つひとつの顧客組織に寄り添った伴走型のセキュリティサービスを提供しています。

■「エンジニアの背中を預かる」ための、エンジニア向けサービス群

・セキュリティエンジニアによる「脆弱性診断・ペネトレーションテスト」

URL：https://flatt.tech/assessment

・Web&クラウドまるごと脆弱性診断ツール「Shisho Cloud byGMO」

URL： https://shisho.dev/ja

・クラウド型セキュアコーディング学習プラットフォーム「KENRO byGMO」

URL： https://flatt.tech/kenro

※ 記載されている会社名及び製品名は、各社の商標または登録商標です。

GMO Flatt Security株式会社（URL：https://flatt.tech）

会社名　　GMO Flatt Security株式会社

所在地　　東京都渋谷区桜丘町26番1号　セルリアンタワー

代表者　　代表取締役社長　井手　康貴