最近、Googleのセキュリティ副社長であるHeather Adkinsは、あるイベントでAIを駆動するバグ研究者Big Sleepが、複数の人気のあるオープンソースソフトウェアで20のセキュリティバグを発見し報告したと発表しました。

image.png

これらのバグは、音声およびビデオ処理ライブラリのFFmpegや画像処理ソフトのImageMagickなどのプロジェクトに主に存在しています。Big Sleepは、GoogleのAI部門であるDeepMindとそのトップハッカーチームであるProject Zeroが共同で開発したものです。

image.png

これらのバグは現在修復されていませんが、Google側はバグの具体的な影響や深刻度について詳細な情報を提供していません。この情報の秘匿は、修復待ちの間には一般的な慣例です。しかし、Big Sleepがバグを発見したという事実は非常に重要であり、これはAIを基盤とするセキュリティ検出ツールが実際的な効果を示し始めていることを示しています。

GoogleのスポークスパーソンであるKimberly Samraは、バグ報告の質と実用性を確保するために、チームが報告公開前に人間の専門家によるレビューを導入していると述べました。ただし、各バグの発見および再現はAIによって自主的に行われ、人間の介入は必要ありません。SNSプラットフォームX上で、Googleエンジニア副社長のRoyal Hansenは、この発見は「自動化されたバグ発見分野における新たな進展」を示しており、大型言語モデル(LLM)を基盤とするツールが安全なバグを効果的に特定・発見できるようになったことを示していると指摘しました。

Big Sleep以外にも、Googleは他のAIバグハンターを開発しており、例えばRunSybilやXBOWなどがあります。XBOWはバグ報奨プラットフォームHackerOneで優れた成績を収め、メディアから広く注目されています。しかし、バグ報告を行う過程において、多くのプロジェクトメンテナーよりも時折受け取る誤った報告が本物ではない場合があり、「バグ報奨プログラム版のAIゴミ」と呼ばれることがあります。このような問題にもかかわらず、RunSybilの共同創設者兼CTOであるVlad Ionescuは、Big Sleepが「合法的な」プロジェクトであり、経験豊富なProject Zeroと強力なDeepMindチームの支援があることを強調しました。

全体的に見ると、この進展はAIがサイバーセキュリティ分野での潜在力を示しており、同時にいくつかの不備も露呈しています。今後はさらに改善と完成を目指す必要があります。

ポイント:  

🌐 Big SleepはFFmpegやImageMagickなどのオープンソースソフトウェアで20のセキュリティバグを成功裏に発見しました。  

🔍 AIツールはバグ発見分野で新しい進展を遂げ、実用的な応用可能性を示しています。  

👥 人間の審査により報告の品質を確保しますが、AIは依然として人間の専門家の参加と検証が必要です。