米国、AI主導の脆弱性急増を受けて脆弱性クリアリングハウスを始動

トランプ政権は火曜日、セキュリティコミュニティによるフロンティアAIモデルの活用を調整し、脆弱性を迅速に特定・修正するプログラムの始動を発表しました

政権が「Gold Eagle」と呼ぶこの脆弱性管理クリアリングハウスは、AIモデルが発見する脆弱性の数が急増し、セキュリティコミュニティに大きな負担がかかっている状況への対応策です。このクリアリングハウスを通じて、政府は民間企業や独立した研究者による取り組みを調整し、重要なソフトウェアパッケージの脆弱性をスキャンし、発見した脆弱性を修正し、そのパッチをエンドユーザーに配布します。

多くのセキュリティ専門家がソフトウェアの脆弱性を探し続けている中、政府は彼らの専門知識と、その多くが利用しているフロンティアAIモデルの能力を、統一された形で結集しようとしています。狙いは、国内の脆弱性ハンターとそのAIツールを可能な限り幅広いソフトウェアに展開することです。一部が同じソフトウェアに重複して取り組み、サイバー犯罪者や国家主導の敵対勢力との軍拡競争において貴重な時間とリソースを浪費する事態を避けるためです。

ホワイトハウスの声明によると、Gold Eagleは「すでにあらゆる業界・分野から特定されたサイバーセキュリティ脆弱性の受付と優先順位付けを開始しており、スキャンによる検証を調整し、最終的には我が国のソフトウェアとネットワークの安全性を確保する」としています。同声明で述べられています。

Gold Eagleプログラムの中核をなすのが脆弱性情報調整環境(VINCE)です。政府はカーネギーメロン大学のソフトウェアエンジニアリング研究所と提携してこれを運用しています。VINCEプラットフォームでは、誰でもGold Eagleプログラムに脆弱性を報告し、トリアージと対策につなげることができます。

国家サイバー長官のショーン・ケアンクロス氏は火曜日の記者会見で、VINCEにより「これまでに例のない速度と規模での脆弱性・パッチ調整」が可能になると語りました。

Gold Eagleは、幅広い重要インフラを支えながらも十分な精査を受けていないことが多いオープンソースソフトウェアに重点的に取り組みます。多くが手弁当でプロジェクトを維持しているオープンソース開発者らは、AIが生成したバグ報告の波に圧倒されていると述べています。その一部は驚くほど正確だといいます。

ケアンクロス氏は、オープンソース開発者らを「重要なパートナー」と位置づけ、そのコードは米国民の生活に不可欠だと表現しました。

冗長性と責任をめぐる懸念

ホワイトハウスはGold Eagleについて――ドナルド・トランプ大統領がAIセキュリティに関する6月の大統領令で創設を命じたものです――「これまでに例のない速度と規模でサイバー脆弱性を受け付け、修正する調整システム」であり、「サイバー防衛における新たな運用モデルを体現するもの」だと説明しています。

とはいえ、Gold Eagleが登場した時点で、民間セクターにはすでに複数の類似プログラムが存在しています。Linux Foundationは、Anthropic、Microsoftをはじめとする大手テック企業の支援を受け、オープンソースコミュニティによる脆弱性の特定と対処を強化する「Akrites」というプログラムを立ち上げています。また、オープンソースセキュリティベンダーのChainguardは、Cisco、Cloudflare、JPMorgan Chaseをはじめとする大手企業と提携し、オープンソースソフトウェアに焦点を当てた別の脆弱性調整システムである「Athena」を立ち上げました

これら2つの業界主導プログラムには、フロンティアAI企業や、Anthropicの「Project Glasswing」およびOpenAIの「Daybreak」連合の参加企業が関わっています。一方トランプ政権は、Gold EagleプログラムにどのAI企業がリソースを提供しているかを含め、参加企業を明らかにしていません(Anthropicは、この政府主導のクリアリングハウスに参加する意向を表明済みです)。

Gold Eagleにはすでに大きな障害が立ちはだかっています。脆弱性情報の交換の仕組みは、サイバーセキュリティ情報共有法(Cybersecurity Information Sharing Act)による責任保護に依拠していますが、この法律は連邦議会が2月に9月末まで暫定的に再承認したばかりです。トランプ政権は議員らに対し、同法の保護措置が強固なサイバーセキュリティ協力エコシステムに不可欠だとして、10年間の再承認を求めています。

翻訳元: https://www.cybersecuritydive.com/news/vulnerability-clearinghouse-ai-white-house-launch-gold-eagle/825298/

ソース: cybersecuritydive.com