AIツールは脆弱性の発見を民主化し、加速させることができる。しかし、追加の負担をもたらすこともある。
DC Studio | shutterstock.com
人工知能(AI)は、バグバウンティプログラムの推進力としてもますます活用されている。セキュリティ専門家は大規模言語モデル(LLM)を利用して、
- 脆弱性の発見を自動化したり、
- APIのリバースエンジニアリングを行ったり、
- コードベースをこれまでになく迅速に精査したりしている。
しかし、こうした効率性やスピードの向上は、実際には新たな問題も伴う。
バグバウンティのフィルターバブル
「AIは、何かを発見したと信じる人々にとってエコーチェンバーや増幅器として機能しているのを私たちは観察しています。これは確証バイアスの悪循環に陥る原因となります」と、バグバウンティプラットフォームIntigritiのChief Hacker OfficerであるInti De Ceukelaire氏は説明する。外部からの脆弱性報告に対応するセキュリティチームは、AI生成のレポートを懐疑的に見るべきだと同氏は助言する。De Ceukelaire氏によれば、誤ったAI生成のバグレポートを見抜くには、トリアージサービスを統合したバグバウンティプラットフォームが役立つという。「このようなプラットフォームは、リサーチ専門家の実績を長期的に測定し、AIの誤りも特定できます。」
しかし、たとえトリアージがここで役立つとしても、特に潤沢なリソースを持たないバグバウンティプログラム(キーワード:オープンソース)にとっては、これも追加の負担となる。例えば、オープンソースプロジェクトのCurl(ファイルのダウンロードなどに使われるコマンドラインツール)がその一例だ。プロジェクトリーダーのDaniel Stenberg氏は自身のブログ記事で、彼とチームが今やAIツールによって作成された質の低いバグレポートへの対応にあまりにも多くの時間を費やしていると嘆いている。「Curlのセキュリティチームは7人で構成されています。各レポートには3~4人が、30分から3~4時間も対応に追われています。」
AIツールによるバグハンティングの成果が現時点ではまちまちであることは、他のセキュリティ実務者も認めている。例えば、セキュリティおよびコンプライアンスコンサルティング会社ProCircularのマネージャーであるBobby Kuzma氏は「正しく適用され、検証されれば、AIツールは有意義な結果をもたらすことができます。しかし、AIツールによって、バグバウンティプログラムが、控えめに言っても“ゴミ”のような報告で溢れかえることもあります」と述べている。
こうしたAIツールを扱う人々が自分のしていることを理解していることが、バグハンティングの成功には不可欠だと、英国の投資リサーチプラットフォームTrustNetのCISOであるTrevor Horwitz氏も考えている。「依然として最良の成果を出すのは、ツールの使い方を知っている人間です。AIはスピードやスケーラビリティをもたらしますが、持続的な成果を生むのは人間の判断力です。」
Gal Nagli氏(クラウドセキュリティ企業WizのHead of Threat Exposure)も同様の見解を示している。「AIの真の価値は、経験豊富なリサーチャーを支援することにあります。特に、認証が必要なポータルのテストや、大規模なコードベースやJavaScriptファイルの解析において役立ちます。これにより、AIがなければこれまで複雑すぎたり微妙すぎたりして発見できなかった脆弱性を明らかにできます。」
この分野では、完全自律型エージェントは依然として苦戦しているとWizのマネージャーは指摘する。特に人間の文脈が重要となるシナリオでは顕著だ。(fm)
