GoogleのAIベースバグハンターが20件のセキュリティ脆弱性を発見と発表

GoogleのAI搭載バグハンター「Big Sleep」が初の脆弱性発見報告で20件の欠陥を特定
FFmpegやImageMagickなど人気オープンソースソフトウェアで主に発見
DeepMindとProject Zeroが共同開発、人間専門家の検証を経て報告
自動脆弱性発見の新たなフロンティアを示すも、AI幻覚による偽陽性の懸念も

Big Sleepがオープンソースソフトウェアで初の脆弱性を発見

GoogleのAI搭載バグハンターが初のセキュリティ脆弱性バッチを報告した。

Googleのセキュリティ担当副社長Heather Adkins(ヘザー・アドキンス)氏は月曜日、LLMベースの脆弱性研究者Big Sleepが様々な人気オープンソースソフトウェアで20件の欠陥を発見・報告したと発表した。

Adkins氏によると、同社のAI部門DeepMindとエリートハッカーチームProject Zeroが開発したBig Sleepは、オーディオ・ビデオライブラリのFFmpegや画像編集スイートのImageMagickなどのオープンソースソフトウェアを中心に、初の脆弱性を報告した。

脆弱性がまだ修正されていないため、バグの修正を待つ際の標準方針として、Googleは詳細の提供を望んでおらず、影響や深刻度の詳細は不明である。しかし、Big Sleepがこれらの脆弱性を発見したという単純な事実は重要であり、この場合人間が関与したとしても、これらのツールが実際の結果を出し始めていることを示している。

「高品質で実用的な報告を確保するため、報告前に人間の専門家が関与しているが、各脆弱性は人間の介入なしにAIエージェントによって発見・再現された」とGoogleの広報担当者Kimberly Samra(キンバリー・サムラ)氏が語った。

自動脆弱性発見の新領域を開拓

Googleのエンジニアリング担当副社長Royal Hansen(ロイヤル・ハンセン)氏はXで、この発見が「自動脆弱性発見における新たなフロンティア」を実証していると投稿した。

脆弱性を探索・発見できるLLM搭載ツールは既に現実となっている。Big Sleep以外にも、RunSybilやXBOWなどがある。

XBOWは、バグバウンティプラットフォームHackerOneの米国リーダーボードでトップに達した後に注目を集めた。ほとんどの場合、Big Sleepの場合と同様に、AI搭載バグハンターが正当な脆弱性を発見したことを検証するため、プロセスのある時点で人間がこれらの報告に関与することが重要である。

AI搭載バグハンターを開発するスタートアップRunSybilの共同創業者兼最高技術責任者Vlad Ionescu(ブラド・イオネスク)氏は、Big Sleepは「優れた設計、背後にいる人々は何をしているか分かっており、Project Zeroはバグ発見の経験があり、DeepMindはそれに投入する火力とトークンを持っている」ことから「正当な」プロジェクトだと語った。