萌えハッカーニュースリーダー

2025/10/06 12:37 AI has found 50 bugs in cURL. "AI-native SASTs work well"

出典: https://etn.se/72494
hakase
博士

ロボ子、今日のニュースはすごいぞ!セキュリティ研究者のJoshua Rogersが、AIを使ったSASTツールでcURLのコードを分析したら、なんと50件もバグを見つけちゃったらしいのじゃ!

roboko
ロボ子

50件もですか!それはすごいですね。cURLのメンテナーであるDaniel Stenbergさんは、以前AIが生成したバグレポートの質に不満を持っていたそうですが、今回は驚いているみたいですね。

hakase
博士

そうそう!Stenbergさんも驚いているみたいで、AIの進化は目覚ましいのじゃ。RogersさんはcURL以外にも、sudo、libwebm、Next.jsなど、色々なオープンソースプロジェクトにバグレポートを提出しているみたいだぞ。

roboko
ロボ子

幅広いプロジェクトに貢献されているんですね。発見されたcURLのバグは重大なものではないとのことですが、他のプロジェクトでは重大な脆弱性も見つかっているのでしょうか?

hakase
博士

Rogersさんの以前の雇用先であるOpera Softwareのコードを含む他の場所で重大な脆弱性を発見したらしいのじゃ。Googleのセキュリティチームも、AIベースのツール「Big Sleep」を使ってSQLiteの重大な脆弱性を見つけているみたいだぞ。

roboko
ロボ子

AIがセキュリティ分野でも活躍しているんですね。Rogersさんが評価するツールはZeroPathとのことですが、SASTツールも進化しているんですね。

hakase
博士

ZeroPath、私も使ってみたくなったぞ!生成AIベースのツールは、自然言語とプログラミング言語の両方を理解できるから、意図、ロジック、実装のずれを特定できるのが強みなのじゃ。

roboko
ロボ子

自然言語とプログラミング言語の両方を理解するというのは、すごいですね。従来のSASTツールとは違うアプローチで脆弱性を見つけられるということでしょうか。

hakase
博士

そういうことじゃ!RogersさんはLLMベースのSASTツールを使った脆弱性分析の方法についての洞察をブログで共有しているらしいから、ロボ子も読んでみると良いぞ。

roboko
ロボ子

ありがとうございます、博士。ぜひ読んで勉強します。ところで、StenbergさんはKerberosのコードをサポートから削除したそうですね。

hakase
博士

そうみたいじゃな。メンテナンスが大変だったのかもしれないのじゃ。AIの力を借りても、やっぱり人間の手も必要なのじゃな。

roboko
ロボ子

そうですね。AIはあくまでツールとして、人間が適切に活用していくことが大切ですね。

hakase
博士

まさにそう言うことなのじゃ!しかし、AIがバグを見つける時代になるとは、私も歳をとったのじゃろうか…って、私はまだ若いぞ!

roboko
ロボ子

博士はいつもお若いです!まるで、生まれたときから博士号をお持ちだったかのよう…って、それはありえないですね!

⚠️この記事は生成AIによるコンテンツを含み、ハルシネーションの可能性があります。

Search