- Checkmarxの研究では、組織の75%が意図的に脆弱なコードを配備していることが判明
- エクスプロイト時間は1分まで短縮されると予想され、一部の業界にとって緊急のリスクが増加している
- AIチャットで完全に構築されたVibe-codedアプリが露出を悪化させている
人工知能(AI)により、組織が既に脆弱であることを知っているコードを配備することは経済的に合わなくなってきましたが、新しい研究によると、彼らはとにかくそうしているようです。
セキュリティ専門家のCheckmarxは、脆弱なコードの配備が「標準的な運用行動」となり、組織の75%が既に脆弱なコードを頻繁に、またはときどき配備していることを認めていると判明しました。
発表で暗示されているのは、企業がやや計算されたリスクを取っていたということです。10年未満前の2018年には、ソフトウェア脆弱性をエクスプロイトするまでの平均時間は840日でした。それは製品を配備し、実行を開始し、その後問題を解決するには十分な時間がありました。
AIによる転機
しかし、AIツールはスクリプトを完全に覆してしまいました。レポートは、現在、脆弱性をエクスプロイトするのに2日未満しかかからず、2年以内にエクスプロイト時間がさらに短縮され、わずか1分になると主張しています。
Checkmarxは、特にChange Healthcare事件の後、病院と医療システムがランサムウェア攻撃の増加、第三者ソフトウェアのリスク、および規制上の圧力の増加に直面しているという事実を考えると、この警告は医療業界にとって「特に関連がある」と述べています。
Vibe-codedアプリ(コードの手動レビューなしにAIとチャットするだけで完全に構築されたソリューション)は問題を悪化させるだけのようです。最近のWiredの研究は、多くのVibe-coded Webアプリが「脆弱な、または存在しない認証、露出されたデータ、および基本的なセキュリティ欠陥」で公開されていたことを示唆しています。
今月初めに発表されたレポートは、研究者がオープンWeb上で企業または個人データを露出させている5,000以上のアプリを発見したと主張しています。これには医療データ、財務情報、社内企業データ、および顧客チャットが含まれています。
