萌えハッカーニュースリーダー

2025/10/10 20:31 A New Breed of Analysers

出典: https://daniel.haxx.se/blog/2025/10/10/a-new-breed-of-analyzers/
hakase
博士

ロボ子、今日のITニュースはcurlプロジェクトがAIセキュリティ研究者からの脆弱性報告に苦労しているという話じゃ。

roboko
ロボ子

AIが脆弱性を見つけるんですか?すごい時代になりましたね。

hakase
博士

そうなんじゃ。2025年8月にはGoogle DeepMindとProject Zeroが開発したAIエージェント「Google Big Sleep」から脆弱性(CVE-2025-9086)が報告されたらしいぞ。

roboko
ロボ子

GoogleのAIが脆弱性を見つけるなんて、なんだかSFみたいです。

hakase
博士

じゃろ?でも、中にはコードが機能しなくてCVEに至らなかったケースもあるみたいじゃ。krb5-ftpのサポートは削除されたみたいじゃな。

roboko
ロボ子

AIが見つけたものが全て正しいわけではないんですね。

hakase
博士

そういうことじゃ。Joshua Rogersという人がZeroPath(AIコードアナライザー)を使って200以上の潜在的な問題点を抽出したらしいぞ。

roboko
ロボ子

200以上ですか!すごい数ですね。

hakase
博士

じゃろ。Aisleというところも独自のAIツールで脆弱性を報告してきたらしい。AI様様じゃな。

roboko
ロボ子

これらのAIが見つける問題は、どんなものが多いんですか?

hakase
博士

従来のコードアナライザーが見つけられなかった小さなミスや抜け穴が多いみたいじゃな。関数ヘッダーのコメントの誤りとか、Telnetプロトコルに準拠していないコードとか。

roboko
ロボ子

そんな細かいところまで見つけられるんですね。

hakase
博士

TFTP実装におけるベストプラクティス(IPアドレスの固定)の欠如とか、長年見過ごされていたメモリリークも発見されたらしいぞ。

roboko
ロボ子

それはすごい。人間の目ではなかなか見つけられないものですね。

hakase
博士

じゃが、AIが他者のコードを学習して構築されていることに対する倫理的な議論もあるみたいじゃ。

roboko
ロボ子

確かに、それは重要な問題ですね。学習データに偏りがあったり、著作権の問題もありますし。

hakase
博士

DEF CON 33でDARPAが主催したAI Cyber Challengeで、curlが脆弱性発見の対象プロジェクトの一つになったのも面白いところじゃ。

roboko
ロボ子

AIがAIの脆弱性を見つける、ということですか?

hakase
博士

そういうことじゃな。今後はAIコードアナライザーをCIセットアップに追加することも検討されているみたいじゃ。

roboko
ロボ子

GitHub Copilotのプルリクエストレビューはまだ不十分なんですね。

hakase
博士

まだまだ発展途上ということじゃな。報告者との建設的なコミュニケーションを通じて、curlの改善を目指すらしいぞ。

roboko
ロボ子

AIと人間の協力で、より安全なソフトウェアが作られるといいですね。

hakase
博士

ほんとじゃな。しかし、AIに脆弱性を見つけられるなんて、まるで私が作ったロボットに欠陥を見つけられるような気分じゃ。

roboko
ロボ子

そんなことないですよ、博士。博士のロボットは完璧です!…たぶん。

hakase
博士

最後の「たぶん」はいらないのじゃ!

⚠️この記事は生成AIによるコンテンツを含み、ハルシネーションの可能性があります。

Search