AIによって生成された低品質な画像やテキストが、近年インターネット上で増加し、ウェブサイトやソーシャルメディア、新聞などに影響を与えていると発表しました。
サイバーセキュリティの分野もこの問題から免れることはできず、AIによる虚偽のバグ報告が増えているということです。これらの報告は、実際には存在しない脆弱性をAIが生成し、あたかも本物のように見せかけたものです。
AIを活用したバグハンターを開発するスタートアップRunSybilの共同創業者でCTOのブラッド・イオネスク氏は、「技術的に正しいように見える報告を受け取るが、実際には存在しない脆弱性を探すことになる」と述べています。
さらに、イオネスク氏は、AIが役に立つように設計されているため、求められた報告を作成する傾向があると説明しました。このため、AI生成の報告がバグ報奨金プラットフォームを圧迫し、顧客に混乱をもたらしているということです。
サイバーセキュリティ研究者のハリー・シントネン氏は、オープンソースセキュリティプロジェクトCurlが偽の報告を受けたことを明らかにしました。また、テクノロジープラットフォームOpen Collectiveのベンジャミン・ピウッフル氏も、AIによる報告が増えていると指摘しています。
バグ報奨金プラットフォームのHackerOneの共同創業者で製品管理シニアディレクターのミヒール・プリンス氏は、AI生成の報告が増加していると述べています。「現実の影響がない偽陽性が増加しており、セキュリティプログラムの効率を損なう恐れがある」とのことです。
Bugcrowdの創業者であるケーシー・エリス氏も、AIを使用した報告が増加しているが、低品質な報告の急増はまだ見られないと述べています。エリス氏は、報告の審査には手動のプロセスとAIの支援を組み合わせているとしています。
一方で、Mozillaのスポークスマンであるダミアーノ・デモンテ氏は、AI生成の報告が大幅に増加しているわけではなく、無効な報告の割合は月に5〜6件と安定していると述べています。
この問題に対する解決策として、AIを活用したシステムへの投資が重要であるとイオネスク氏は予測しています。実際、HackerOneはAIと人間を組み合わせた新しいトリアージシステム「Hai Triage」を導入しました。これにより、AIが報告を精査し、人間が最終確認を行う仕組みです。
AIがますます報告の作成に利用される中で、企業はAIを活用してその報告を精査する方針です。