4分の3の企業が脆弱性のあるコードを導入していることを認めており、サプライチェーンでAIのリスクが増加している、と今週発表された2つの新しい調査によると。
Checkmarxは5月21日に発表した新しいデータで、75%の組織が脆弱性があることを知っているコードを頻繁に、または時々導入していることを示しました。
これは昨年の81%から減少していますが、ますます強力なAIモデルが脅威アクターにより大きな効率で脆弱性を発見および悪用できるようにしている時期には依然として高すぎます。
2018年では平均840日かかった悪用が、2026年では2日未満で実行されている、とCheckmarxは主張しています。Checkmarx Zeroチームの研究者は、悪用までの時間が2028年までに1分に達すると予測しています。
Checkmarxの副社長Eran Kinsbrunerは、検証されていないAI生成コードが問題の大きな部分であると主張しました。
「バックログはもはやプロセス上の問題ではなく、数学的な問題です」と彼女は述べました。「AI生成コードは既存のあらゆる手動修復モデルを上回っています。」
AIコーディングの脅威について詳しく読む:セキュリティ研究者がAI生成コードの脆弱性について警告を鳴らす
Checkmarxが強調したリスクは最近他の場所でも反響を呼んでいます。今週、Verizonは主張しましたが、そのデータ漏洩調査報告書(DBIR)で、過去1年間のデータ漏洩における初期アクセスの約3分の1(31%)が脆弱性悪用によるものであり、昨年のDBIRの20%から増加しました。
これはAIの敵対的な使用が増加の原因である可能性があることを示唆しました。
「中央値の脅威アクターは15の異なるドキュメント化された手法でAIの支援を調査または使用しており、一部のアクターは40から50の手法を活用しています」とVerizonのレポートは述べています。
サプライチェーンのAIについて懸念を持つ英国企業
この調査結果は、今週発表された英国保険会社QBEの別の調査と一致しており、英国企業の75%がベンダーとサプライヤーがAIを使用することを心配していることが明らかになっています。
彼らはすでに潜在的なサプライチェーンインシデントに対して高度な警戒をしています。QBEは、過去12ヶ月間に「サイバーイベントを経験した」回答者の割合が2025年の53%から2026年の59%に上昇したと主張しました。今年、5分の1以上(22%)が、彼らが被った攻撃の「すべてまたはほとんど」がサプライヤーを含むと主張しました。
しかし、懸念にもかかわらず、AIを使用している企業のわずか28%が第三者サプライヤーのAIシステムを評価または監査する措置を講じており、わずか35%しか正式なAI使用またはガバナンスポリシーを持っていない、とQBEは主張しました。
翻訳元: https://www.infosecurity-magazine.com/news/threequarters-knowingly-ship/
