- Protect AIの研究者は、AnthropicのClaude AIモデルの支援を受けて、Pythonコードベースのゼロデイ脆弱性を見つけるための無料のオープンソースツールをリリースする予定
- ソフトウェア「Vulnhuntr」は、イタリアのNo Hatセキュリティカンファレンスで発表されました
- Vulnhuntrは、大規模なオープンソースPythonプロジェクトで既知でない脆弱性を数十件見つけたとのこと
- ツールは現在、Pythonコードにのみ対応しており、他の言語のコードを組み込むPythonプロジェクトでは偽陽性の可能性が高くなる
- 脆弱性を特定した場合、PoCエクスプロイトを生成し、信頼スコアを1から10の範囲で生成する
私の考え:Vulnhuntrは、ゼロデイ脆弱性を見つけるための革新的なアプローチを提供しており、従来の静的コード解析ツールと比べて偽陽性/偽陰性の大幅な削減が可能となっています。ただし、現在はPythonコードにのみ対応しているため、他の言語のコードを含むプロジェクトでは制限があるようです。また、Claude APIにはコストがかかるため、利用時には注意が必要です。
元記事: https://www.theregister.com/2024/10/20/python_zero_day_tool/