LAS VEGASで開催されたBlack Hat USA 2024セッションでは、Veracodeが開発者にAIツールへの信頼を減らし、十分なアプリケーションセキュリティテストに焦点を当てるよう促した。
VeracodeのCTOで共同創業者であるChris Wysopalは、開発者がMicrosoft CopilotやChatGPTなどの大規模言語モデル(LLM)を使用してコードを生成することが増えているが、それには多くの課題があると警告した。
Wysopalは、LLMによって生成されたコードには、既知の脆弱性が含まれるケースが41%あるなど、人間が生成したコードと同様の問題があることを示す研究を紹介した。
Wysopalは、GenAIコーディングアシスタントに関する他のセキュリティベンダーの懸念と一致して、GenAIツールが新たな問題を引き起こす可能性も指摘している。
彼は、LLMによって生成されたコードには同様の問題がある一方で、新たな問題も浮上しており、セキュリティチームが脆弱性を修正する能力に影響を及ぼす可能性があると懸念している。
また、データセットの毒されるリスクや新たなAI生成攻撃の増加など、GenAIツールにはさらなるリスクがあるとして、新たなAI防衛策が必要であると述べている。
私の考え:AIを活用したコード生成は効率的であるが、セキュリティ上の懸念があることが明らかになっています。開発者はAIに対する信頼を減らし、セキュリティテストを適切に行うことが重要です。また、AIによって生成されたコードの脆弱性対策が急務であり、新たなAI攻撃に対抗するためには新たなAI防衛策が必要とされています。