OpenAIは最近、人工知能の力を借りてオープンソースコミュニティのサイバーセキュリティ対策を強化するための新しい計画「地球修復」を発表しました。この計画の名前は1995年の映画『ハッカー』に登場する有名なセリフ「地球への侵入」をもじったもので、ユーモラスから現実的な姿勢へと変化し、OpenAIがオープンソースエコシステムの「保護者」として積極的に関与し始めたことを示しています。

AIセキュリティツール+人間による検証で、オープンソースメンテナーエンジニアの負担を減らす
OpenAIはセキュリティ企業のTrail of Bitsと深く協力します。Trail of Bitsのセキュリティ専門家は直接オープンソースプロジェクトのメンテナーと連携し、コード内に潜むさまざまなリスク問題を調査します。また、OpenAIが自社開発したCodex Securityなどのセキュリティツールを使って補助的な検出も行います。
OpenAIは現在、多くのオープンソースメンテナーが人員や時間のリソースが限られているにもかかわらず、急増するセキュリティホールの報告件数に対応しなければならないと述べています。「地球修復」計画の核心的な考え方は「負担を増やすのではなく、減らす」ことです。セキュリティエンジニアがまず脆弱性検出結果を事前に検証し、プロジェクトチームとともに脆弱性パッチと関連テストケースを作成し、再利用可能なオートメーションワークフローを構築します。これにより、プロジェクトが初回の脆弱性修正を行った後でも、継続的に自身のセキュリティ防御レベルを最適化できるようになります。
オープンソースエコシステムの「Log4jの夢魇(むく)」はもう繰り返さない
オープンソースプロジェクトは商用ソフトウェア業界全体のデジタル基盤となっていますが、分散化と規制の弱さの特性により、多くのオープンソースコードにセキュリティ欠陥が存在しています。何年前かに業界を揺るがしたLog4jの脆弱性事件はその典型的な例です。広く普及していたオープンソースツールに深刻な脆弱性が発覚し、世界中で大規模なセキュリティ危機を引き起こしました。
業界ではAIセキュリティツールに対する一般的な懸念として、今や人工知能がコードライブラリ内の既存の脆弱性を自動スキャンし、それに基づいて攻撃プログラムを生成することが可能になっている点があります。ネットワーク犯罪の自動化は珍しいことではありませんが、このようなツールは悪意ある人物によるネットワーク攻撃の障壁を大幅に下げることになります。OpenAIはその逆を行って、人工知能を活用し、オープンソースコミュニティを支援して防御能力を強化しようとしています。この取り組みは、競合のAnthropicが提供するMythosなどという製品に対する反応である一方で、オープンソースコミュニティが長年抱えてきた切実なセキュリティニーズに真正面から向き合うものです。
現在、この計画の長期的な実施方法や拡大戦略は明確ではありません。しかし、グローバルなオープンソースコードに「ワクチン」を打つというビジョンはすでに注目を浴びています。
