グーグルは、同社のAIを活用したバグハンター「ビッグスリープ」が初めてセキュリティ脆弱性を報告したと発表しました。
グーグルのセキュリティ担当副社長であるヘザー・アドキンス氏は、月曜日に「ビッグスリープ」がさまざまな人気のあるオープンソースソフトウェアで20件の脆弱性を発見し報告したと述べました。
「ビッグスリープ」は、グーグルのAI部門であるディープマインドと、エリートハッカーチーム「プロジェクトゼロ」によって開発されました。発見された脆弱性の多くは、音声・映像ライブラリのFFmpegや画像編集ソフトウェアのImageMagickなどのオープンソースソフトウェアに存在しています。
これらの脆弱性はまだ修正されていないため、影響や深刻度の詳細は明らかにされていません。これは、バグが修正されるまで詳細を提供しないという標準的な方針です。しかし、「ビッグスリープ」がこれらの脆弱性を発見したという事実は重要です。これにより、これらのツールが実際の成果を上げ始めていることが示されています。
グーグルの広報担当者であるキンバリー・サムラ氏は、「高品質で実用的な報告を保証するために、人間の専門家が報告前に関与していますが、各脆弱性はAIエージェントによって人間の介入なしに発見され再現されました」と述べています。
グーグルのエンジニアリング担当副社長であるロイヤル・ハンセン氏は、Xで「自動化された脆弱性発見の新たなフロンティアを示すもの」と書いています。
LLMを活用したツールは、すでに脆弱性を探し出す現実のものとなっています。「ビッグスリープ」以外にも、「RunSybil」や「XBOW」などがあります。
「XBOW」は、バグ報奨金プラットフォーム「HackerOne」の米国リーダーボードでトップに立ったことで注目を集めています。これらの報告の多くは、AIによるバグハンターが正当な脆弱性を発見したことを確認するために、プロセスのどこかで人間が関与することが重要です。「ビッグスリープ」もその例です。
AIを活用したバグハンターを開発するスタートアップ「RunSybil」の共同創設者兼最高技術責任者であるヴラッド・イオネスク氏は、「ビッグスリープ」は「正当な」プロジェクトであり、「良い設計で、背後にいる人々が何をしているかを理解している。プロジェクトゼロはバグ発見の経験があり、ディープマインドはそれに対する資金と技術力を持っている」と述べています。
これらのツールには多くの可能性がありますが、同時に重大な欠点もあります。異なるソフトウェアプロジェクトを維持する複数の人々が、実際には誤認であるバグ報告に不満を持ち、AIによるバグ報奨金の「スロップ」と呼んでいます。
イオネスク氏は以前、「人々が直面している問題は、金のように見えるが、実際にはただのクズであるものがたくさんあることです」と述べています。