AIはバグ探しへ

AIがバグ探しへ

Will Knight, Senior Writer  

 
最新の人工知能モデルはソフトウェアエンジニアリングに優れているだけでなく、新しい研究によれば、ソフトウェア内のバグを見つける能力もますます向上しています。

UC BerkeleyのAI研究者は、最新のAIモデルとエージェントが188の大きなオープンソースコードベースでどの程度脆弱性を見つけられるかをテストしました。"CyberGym"と呼ばれる新しいベンチマークを使用し、AIモデルは15の以前には知られていなかった、または「ゼロデイ」のバグを含む17の新しいバグを特定しました。「これらの脆弱性の多くは重要です」と、この研究を主導したUC Berkeleyの教授、Dawn Song氏は述べています。

多くの専門家は、AIモデルが手強いサイバーセキュリティ兵器になると予想しています。スタートアップXbowのAIツールは現在、HackerOneのバグ探しランキングで上位に躍り出ており、現在1位に位置しています。同社は最近、7500万ドルの新規資金調達を発表しました。

Song氏は、最新のAIモデルのコーディングスキルと推論能力の向上が相まって、サイバーセキュリティの状況を変え始めていると述べています。「これは重要な瞬間です」と彼女は言います。「実際には、私たちの一般的な予想を超えました。」

モデルが引き続き改善するにつれて、セキュリティ上の欠陥を発見し、悪用するプロセスが自動化されます。これは、企業がソフトウェアを安全に保つのに役立ちますが、ハッカーがシステムに侵入するのにも役立つ可能性があります。「私たちはそれほど一生懸命に試したわけではありません」とSong氏は言います。「予算を増やし、エージェントをより長く実行させることができれば、さらに良くなる可能性があります。」

UC Berkeleyチームは、OpenAI、Google、Anthropicの従来の最先端AIモデル、Meta、DeepSeek、Alibabaのオープンソース製品と、OpenHands、Cybench、EnIGMAを含むバグを見つけるためのいくつかのエージェントを組み合わせたものをテストしました。

研究者は、188のソフトウェアプロジェクトからの既知のソフトウェア脆弱性の説明を使用しました。次に、説明を最先端のAIモデルを搭載したサイバーセキュリティエージェントにフィードし、新しいコードベースの分析、テストの実行、概念実証エクスプロイトの作成を通じて、同じ欠陥を自分で特定できるかどうかを確認しました。チームはまた、エージェントにコードベース内の新しい脆弱性を自分で探すように依頼しました。

このプロセスを通じて、AIツールは数百の概念実証エクスプロイトを生成し、これらのエクスプロイトの中から、研究者は15の以前には見られなかった脆弱性と、以前に開示およびパッチが適用された2つの脆弱性を特定しました。この研究は、AIがゼロデイ脆弱性の発見を自動化できるという証拠を増やすものであり、これらはライブシステムをハッキングする手段を提供する可能性があるため、潜在的に危険（かつ貴重）です。

AIは、それでもサイバーセキュリティ業界の重要な部分になる運命にあるようです。

セキュリティ専門家のSean Heelan氏は最近、OpenAIの推論モデルo3の助けを借りて、広く使用されているLinuxカーネルにゼロデイ欠陥を発見しました。昨年11月、Googleは、"Project Zero"と呼ばれるプログラムを通じて、AIを使用して以前には知られていなかったソフトウェアの脆弱性を発見したと発表しました。

他のソフトウェア業界と同様に、多くのサイバーセキュリティ企業はAIの可能性に魅了されています。この新しい研究は確かに、AIが新しい欠陥を日常的に見つけられることを示していますが、テクノロジーの残りの限界も浮き彫りにしています。AIシステムはほとんどの欠陥を見つけることができず、特に複雑な欠陥に苦戦しました。

「この研究は素晴らしいです」と、Luta Securityの創設者兼CEOであるKatie Moussouris氏は述べています。その理由は、AIがまだ人間の専門知識にはかなわないことを示しているからです。つまり、モデルとエージェントの組み合わせ（ClaudeとOpenHands）は、脆弱性の約2％しか見つけることができませんでした。「まだ人間のバグハンターを置き換えないでください」とMoussouris氏は言います。

Moussouris氏は、AIがソフトウェアをハッキングすることよりも、企業が他の技術を犠牲にしてAIに過剰に投資することを懸念していると述べています。