2026年6月5日、テンセントクラウドAI産業応用大会で、テンセントクラウドはコードセキュリティ製品「CodeBuddy Security」を発表しました。この製品は、テンセントクラウドの雲鼎ラボが独自開発したAIディープオーディットエンジンと静的分析ツールXcheckを組み合わせたもので、AI時代における脆弱性の急増や、従来のコードオーディットが限界に達しているという課題を解決します。

image.png

AIの能力は飛躍的に向上しているが、AIによる脆弱性探索にはいくつかの関門がある

今年、AIは脆弱性探索分野で次々と突破を遂げています。ある大規模なモデル会社は、27年以上隠れていた脆弱性を見つけ、そのAIサイバーセキュリティプロジェクトで初月に1万を超える深刻な脆弱性を発見し、人工復習の真陽性率は90%を超えました。大規模なモデルの意味推論能力は、従来の静的分析(SAST)では見逃す可能性のある深い論理的な脆弱性を発見するのに適していますが、企業向けコードスキャンとして直接大規模モデルを使用すると効果は必ずしも良いとは限りません。テンセントクラウドの雲鼎ラボによる比較テストによると、コード全体をモデルに与えると、膨大な無関係なコードが注意を散らし、コストが高くなるだけでなく、漏れが増加してしまうのです。同じリポジトリを10回実行しても、検出結果に大きな変動があり、安定性が必要なリリースフローに導入することは困難です。さらに重要なのは、「AIが脆弱性を見つけるのは3分、安全担当者が確認するのは3日」という現状で、人間の審査負担は減っていません。

テンセント自社のAI深度オーディットエンジンとXcheckを統合し、脆弱性探索と検証のループを構築

AIによる脆弱性探索の問題に対処するため、CodeBuddy Securityの解法は「二つのエンジンの協調+工学的制約」です。テンセントクラウドの雲鼎ラボが自社で開発したAIディープオーディットエンジンと静的分析ツールXcheckを統合し、AIディープオーディットエンジンはCodeBuddyを基盤とし、SASTでは追跡できないモジュール間のメモリセキュリティ欠陥、プロトコルステートマシンの問題、および業務論理の脆弱性に特化しています。Xcheckはプライベートな配備をサポートし、ソースコードがネットワーク外に出ないようにし、既知の特徴的な脆弱性のスキャンにおいて高速かつ結果が明確です。両方のエンジンが並行して独立してスキャンを行い、結果を統合・重複削除します。

スキャン戦略では、システムはコードベース内と過去のCommitから高リスクモジュールを特定し、AIエンジンは一度に一つのモジュールとその関連ホットスポットのみを処理し、段階的にカバーすることで注意の分散を避けています。検証の段階では、システムは独立した二次検証を導入し、脆弱性コードが本当に存在するか、その発火経路が可能かどうかをゼロから再検証し、単一の分析での「自己確信」の幻覚をフィルタリングします。最後の段階では、隔離されたサンドボックスでターゲット環境を構築し、AIエンジンがPoCを作成して実際に実行します。これにより、セキュリティ担当者は、疑いの残る発見ではなく、確定した脆弱性とPoCを手に入れます。AIによって確認された脆弱性経路は自動的にXcheckの検出ルールに保存され、次回は静的エンジンが直接分析し、計算リソースを繰り返し消費しなくなります。

image.png

現在、CodeBuddy Securityは多くの主要なオープンソースインフラストラクチャ、ディープラーニングフレームワーク、および下位レベルのシステムモジュールで検証されており、NVIDIA、Google、Meta、Apache、Mozilla、OISFなどの企業およびコミュニティに対して複数の有効な脆弱性を報告し、修復を支援しており、公式に確認と感謝を受けました。また、このソリューションは徐々にテンセント内部のリリースフローに統合され、コードの公開前にビジネス上のセキュリティリスクを回避しています。

現在、CodeBuddy Securityは企業向けに試験利用を開始しており、企業のコードセキュリティオーディットにより効率的な解決策を提供しています。