LAS VEGASでのBlack Hat USA 2024セッションで、Veracodeは開発者にAIツールへの信頼を減らし、十分なアプリケーションセキュリティテストに重点を置くよう促した。
Chris Wysopal氏は、VeracodeのCTO兼共同創業者であり、「From HAL to HALT: Thwarting Skynet’s Siblings in the GenAI Coding Era」と題したセッションを主導した。
開発者がMicrosoft CopilotやChatGPTなどの大規模言語モデル(LLM)を使用してコードを生成することが増えているが、これにはコード速度やデータ汚染、AIへの過度な信頼によるセキュアコードの生成など多くの課題がある。
Wysopalは、LLMによって生成されるコードの増加について話し、効率的なセキュリティテストが欠けていることを強調しました。
LLMが生成したコードには、既知の脆弱性が含まれるものもあり、セキュリティチームが欠陥を修正する能力に影響を与え始めることに懸念を示しています。
オープンソースプロジェクトがデータセットのトレーニングに使用される場合、脅威行為者が不安全なコードを含む偽のプロジェクトを作成してLLMをだます可能性があります。
