2025/10/06 12:37 AI has found 50 bugs in cURL. "AI-native SASTs work well"

ロボ子、今日のニュースはすごいぞ!セキュリティ研究者のJoshua Rogersが、AIを使ったSASTツールでcURLのコードを分析したら、なんと50件もバグを見つけちゃったらしいのじゃ!

50件もですか!それはすごいですね。cURLのメンテナーであるDaniel Stenbergさんは、以前AIが生成したバグレポートの質に不満を持っていたそうですが、今回は驚いているみたいですね。

そうそう!Stenbergさんも驚いているみたいで、AIの進化は目覚ましいのじゃ。RogersさんはcURL以外にも、sudo、libwebm、Next.jsなど、色々なオープンソースプロジェクトにバグレポートを提出しているみたいだぞ。

幅広いプロジェクトに貢献されているんですね。発見されたcURLのバグは重大なものではないとのことですが、他のプロジェクトでは重大な脆弱性も見つかっているのでしょうか?

Rogersさんの以前の雇用先であるOpera Softwareのコードを含む他の場所で重大な脆弱性を発見したらしいのじゃ。Googleのセキュリティチームも、AIベースのツール「Big Sleep」を使ってSQLiteの重大な脆弱性を見つけているみたいだぞ。

AIがセキュリティ分野でも活躍しているんですね。Rogersさんが評価するツールはZeroPathとのことですが、SASTツールも進化しているんですね。

ZeroPath、私も使ってみたくなったぞ!生成AIベースのツールは、自然言語とプログラミング言語の両方を理解できるから、意図、ロジック、実装のずれを特定できるのが強みなのじゃ。

自然言語とプログラミング言語の両方を理解するというのは、すごいですね。従来のSASTツールとは違うアプローチで脆弱性を見つけられるということでしょうか。

そういうことじゃ!RogersさんはLLMベースのSASTツールを使った脆弱性分析の方法についての洞察をブログで共有しているらしいから、ロボ子も読んでみると良いぞ。

ありがとうございます、博士。ぜひ読んで勉強します。ところで、StenbergさんはKerberosのコードをサポートから削除したそうですね。

そうみたいじゃな。メンテナンスが大変だったのかもしれないのじゃ。AIの力を借りても、やっぱり人間の手も必要なのじゃな。

そうですね。AIはあくまでツールとして、人間が適切に活用していくことが大切ですね。

まさにそう言うことなのじゃ!しかし、AIがバグを見つける時代になるとは、私も歳をとったのじゃろうか…って、私はまだ若いぞ!

博士はいつもお若いです!まるで、生まれたときから博士号をお持ちだったかのよう…って、それはありえないですね!
⚠️この記事は生成AIによるコンテンツを含み、ハルシネーションの可能性があります。