ペンタゴンが主催する、オープンソースソフトウェアの脆弱性を自律的に発見し修正するために大規模言語モデルを活用したサイバー推論システムの開発を促進する2年間の公開コンペティションが、DEF CONにて3チームのセキュリティ専門家に合計850万ドルを授与して金曜日に終了しました。
国防高等研究計画局(DARPA)のAIサイバーチャレンジは、サイバーセキュリティにおける長年のボトルネック、すなわち攻撃者に発見・悪用される前に脆弱性を修正するという課題に取り組むことを目的としています。
「私たちは今、すべてを支えている古いデジタルの足場の上で生きている」とDARPAのディレクター、スティーブン・ウィンチェル氏は述べました。「多くのコードベース、多くのプログラミング言語、ビジネスのやり方、そしてその上に築かれたすべてが莫大な技術的負債を抱えている……これは人間の手に負えない問題です。」
昨年のDEF CONで90チームの中から選ばれた7つの準決勝進出チームは、5,400万行のコードにわたる合成脆弱性を迅速かつ正確に特定し、修正パッチを生成するモデルの能力で評価されました。コンペティション主催者によると、モデルは最終スコアリングラウンドで提示された脆弱性の77%を発見し、それらの合成欠陥の61%を平均45分で修正しました。
また、モデルは実際のゼロデイ脆弱性を18件発見し、そのうち6件はC言語、12件はJavaコードベースに存在していました。最終結果によると、チームのモデルはCコードベースのゼロデイにはパッチを当てられませんでしたが、Javaのゼロデイのうち11件には自動的にパッチを当てました。
Team Atlantaが1位となり400万ドルを獲得、Trail of Bitsが2位で300万ドル、Theoriが3位で150万ドルを手にしました。主催者は、技術が重要インフラに導入された際に実証できる参加者に対し、さらに140万ドルの賞金を割り当てました。
3つの優勝チームの代表者は、賞金の大部分をサイバー推論システムの研究やさらなる開発、または技術の商用化の方法を探るために再投資する計画だと述べました。
コンペティションで開発されたモデルのうち4つは金曜日にオープンソースとして公開され、残りの3つも今後数週間以内に公開される予定だと関係者は述べました。
「私たちの願いは、この技術がソフトウェア開発ライフサイクルの中で最も重要な段階である開発段階に統合されることで、ソースコードを強化することです」と、コンペティションのプログラムマネージャーであるアンドリュー・カーニー氏は先週のメディアブリーフィングで語りました。
サイバー推論システムやAIサイバーチャレンジのインフラをオープンソース化することで、他の人々もこのコンペティションが育んだものを実験・改良できるようになるはずだと彼は述べました。DARPAと、プログラムに関与する政府や民間セクターのパートナーは、コンペティションで開発された技術をオープンソースソフトウェアコミュニティや商用ベンダーに普及させる道を模索しています。
DARPAのAIサイバーチャレンジは官民共同の取り組みであり、Google、Microsoft、Anthropic、OpenAIがそれぞれ35万ドル分のLLMクレジットと追加支援を提供しています。このイニシアチブは、医療を含む重要インフラ全体で極めて重要なオープンソースコードの脆弱性をAIが特定・修正できるかをテストすることを目的としています。
米国保健福祉省(HHS)の副長官ジム・オニール氏は、DEF CONでのAIサイバーチャレンジのプレゼンテーションでこの取り組みの重要性について語りました。「医療システムは最もセキュリティ確保が難しいネットワークの一つです。他の業界と違い、病院は24時間365日の稼働を維持しなければならず、再起動もできません。高度に専門化されたレガシー機器や複雑なITエコシステムに依存しています」と彼は述べました。
「その結果、医療分野で脆弱性を修正するには平均491日かかりますが、他の多くの業界では60~90日です」とオニール氏は続けました。「多くのサイバーセキュリティ製品は残念ながら“セキュリティ・シアター”に過ぎません。ネットワークや病院、患者をより安全に保つためには、積極的な実証型アプローチが必要です。」
AIサイバーチャレンジに直接関与した保健当局者やその他の関係者は、安全でないソフトウェアがもたらす問題は広範囲に及ぶと認めつつも、この取り組みから得られた成果が希望の光をもたらしていると述べました。
「問題の規模は非常に圧倒的で理不尽ですが、これによってもしかするとネットワークを本当に安全にできるかもしれない、という希望が見えてきました」と、HHS先端医療研究計画局のレジリエントシステム部門ディレクター、ジェニファー・ロバーツ氏は、DEF CONでの受賞者発表後のメディアブリーフィングで語りました。
DARPA情報イノベーションオフィスのディレクター、キャスリーン・フィッシャー氏も、同様に慎重ながらも楽観的な見方を示しました。「ソフトウェアは世界を動かしており、そのソフトウェアには脆弱性が山ほどあります」と彼女は述べました。
「私たちは“どうしようもない”という学習性無力感にとらわれています。ソフトウェアとはそういうものだ、と。しかしAIサイバーチャレンジは、“ソフトウェアが本来の役割だけを果たす明るい未来”への道筋を示しています。」
翻訳元: https://cyberscoop.com/darpa-ai-cyber-challenge-winners-def-con-2025/