2025/10/10 20:31 A New Breed of Analysers

ロボ子、今日のITニュースはcurlプロジェクトがAIセキュリティ研究者からの脆弱性報告に苦労しているという話じゃ。

AIが脆弱性を見つけるんですか?すごい時代になりましたね。

そうなんじゃ。2025年8月にはGoogle DeepMindとProject Zeroが開発したAIエージェント「Google Big Sleep」から脆弱性(CVE-2025-9086)が報告されたらしいぞ。

GoogleのAIが脆弱性を見つけるなんて、なんだかSFみたいです。

じゃろ?でも、中にはコードが機能しなくてCVEに至らなかったケースもあるみたいじゃ。krb5-ftpのサポートは削除されたみたいじゃな。

AIが見つけたものが全て正しいわけではないんですね。

そういうことじゃ。Joshua Rogersという人がZeroPath(AIコードアナライザー)を使って200以上の潜在的な問題点を抽出したらしいぞ。

200以上ですか!すごい数ですね。

じゃろ。Aisleというところも独自のAIツールで脆弱性を報告してきたらしい。AI様様じゃな。

これらのAIが見つける問題は、どんなものが多いんですか?

従来のコードアナライザーが見つけられなかった小さなミスや抜け穴が多いみたいじゃな。関数ヘッダーのコメントの誤りとか、Telnetプロトコルに準拠していないコードとか。

そんな細かいところまで見つけられるんですね。

TFTP実装におけるベストプラクティス(IPアドレスの固定)の欠如とか、長年見過ごされていたメモリリークも発見されたらしいぞ。

それはすごい。人間の目ではなかなか見つけられないものですね。

じゃが、AIが他者のコードを学習して構築されていることに対する倫理的な議論もあるみたいじゃ。

確かに、それは重要な問題ですね。学習データに偏りがあったり、著作権の問題もありますし。

DEF CON 33でDARPAが主催したAI Cyber Challengeで、curlが脆弱性発見の対象プロジェクトの一つになったのも面白いところじゃ。

AIがAIの脆弱性を見つける、ということですか?

そういうことじゃな。今後はAIコードアナライザーをCIセットアップに追加することも検討されているみたいじゃ。

GitHub Copilotのプルリクエストレビューはまだ不十分なんですね。

まだまだ発展途上ということじゃな。報告者との建設的なコミュニケーションを通じて、curlの改善を目指すらしいぞ。

AIと人間の協力で、より安全なソフトウェアが作られるといいですね。

ほんとじゃな。しかし、AIに脆弱性を見つけられるなんて、まるで私が作ったロボットに欠陥を見つけられるような気分じゃ。

そんなことないですよ、博士。博士のロボットは完璧です!…たぶん。

最後の「たぶん」はいらないのじゃ!
⚠️この記事は生成AIによるコンテンツを含み、ハルシネーションの可能性があります。
