AISLEは新たなAIベースのサイバーリアゾニングシステム(CRS)と共にステルスモードから登場しました。CRSという用語は、2016年に開催されたDARPAのCyber Grand Challengeに由来し、リアルタイムでソフトウェアの脆弱性を検出・悪用・修正できるシステムの研究を目的としていました。
このチャレンジ以降、AI駆動のソフトウェアは主流となり、AISLEの新しいCRSは「既知およびゼロデイのアプリケーション脆弱性を自律的に特定、優先順位付け、検証付きで修復するAIネイティブのサイバーリアゾニングシステム」と説明されています。
Ondrej Vlcek(AISLEのCEO兼共同創業者)は次のように説明します。「AIはサイバーセキュリティの経済性を再構築していますが、これまでのところ、その恩恵はほぼ完全に悪意ある攻撃者側にあり、攻撃の高速化や脆弱性の兵器化コストの低減をもたらしています。AISLEは、セキュリティにおける最も困難な課題、すなわち迅速かつ正確な脆弱性修復を解決することで、防御側に優位性を取り戻します。」
新会社の共同創業者には、Vlcek(元Avast CEO)、Jaya Baloo(COO、元Rapid7 CSO)、Stanislav Fort(チーフサイエンティスト、元DeepMindおよびAnthropicのリサーチサイエンティスト)が名を連ねています。同社のエンジェル投資家には、DeepMind現チーフサイエンティスト、Hugging Face共同創業者兼チーフサイエンスオフィサー、Datadog共同創業者兼CEO、MicrosoftのAIエクスペリエンス担当CPOなどが含まれます。
異常検知を超えた自動修復の必要性は明確で、ますます緊急性を増しています。「2024年には4万件以上の新たなソフトウェア脆弱性が発見されました。その一つ一つが潜在的なリスクとなり、重大なものでも組織が修正するまで平均45日かかっています」とVicekは付随するブログで説明しています。一方、攻撃者は脆弱性を悪用するのにわずか5日しかかかりません。攻撃者は防御側よりも早くAIを攻撃に採用・適応させており、AIの進化を待つことなく、会社や従業員、株主を気にする必要もありません。
AISLEは、脆弱性修復のプロセス全体を自動化することで、この差を逆転させることを目指しています。「当社のシステムはリスクを特定するだけでなく、それらを自律的に解決し、企業のソフトウェアスタックの常に更新されるツインと照合して結果を検証します。これにより、修復サイクルが数週間や数か月から数日、場合によっては数分に短縮され、業務への影響を防ぎつつ、完全な人間による監督も可能です」とVicekは述べています。
分析プロセスでは、既知および未知の脆弱性を発見します。運用開始から最初の数週間で、AISLEはLinuxカーネル、OpenSSL、cURL、Apacheスタックなどの基盤ソフトウェア内で100件以上の新たな脆弱性を発見しました。しかし、そのアナライザーは単なるコードの欠陥を超え、レースコンディションやビジネスロジックの欠陥、認証の欠如などの脆弱性も特定できます。
修復プロセスでは、発見された欠陥をファーストパーティおよびサードパーティのコードの両方で自動的に修正します。サードパーティのパッチを待つ必要も、到着時に無視する必要もありません。「修復とは、修正(実際のコードパッチ)を作成し、そのパッチを検証(パッチ候補を用いたオンザフライのdockerイメージを作成してテストできるVerifier Agentを使用)し、最終的に変更をGitにプッシュすることまで含みます」とVicekはSecurityWeekに語っています。
完全自動化(スピードと人的ミスの排除のため)と人間による制御(念のため人間を介在させる)の間にある既存の緊張関係は、設定可能です。「一部の顧客は完全に制御を維持し、AISLEをアシスタント/コパイロットモードでのみ利用したいと考えていますが、それも問題ありません。より自律的な運用を望む方もおり、それにも対応しています。重要なのは、人間がどの程度関与するかを顧客が選択できるという点です」とVicekは説明しました。
「開発者とセキュリティ専門家は、今や機械のスピードで協働し、バックログの負担から解放され、ついに自己防衛型ソフトウェアスタックの未来に向かって進むことができます」と彼は述べています。彼はこの製品を「accelerating to zero(ゼロへの加速)」と表現しており、すなわち、悪用可能なゼロデイをゼロに近づける状態を迅速に実現することを意味しています。
