DARPA：AIでオープンソースのセキュリティギャップを埋める

出典：Andrii Yalanskyi（Alamy Stock Photo経由）

オープンソースコンポーネントは依然としてセキュリティ担当者にとって大きな問題を引き起こし続けており、AIxCCは自動化によってこのギャップを埋めることができるかどうかを検証するために作られました。

DEF CON 33にて、DARPAはAIサイバーチャレンジ（AIxCC）の受賞者を発表しました。この2年間のプログラムでは、チームが重要インフラを支えるオープンソース技術のセキュリティ強化のためにAI技術を活用することが課されました。チームは「サイバー推論システム（CRS）」を開発し、一連の課題を通じて脆弱性の修正に取り組みました。

ファイナルコンペティションでは、チームはCRSを使って5,400万行のコードにわたる合成脆弱性を特定し、パッチを生成することが求められました。CRSは大会の最終課題で54個のユニークな合成脆弱性を発見し、そのうち43個にパッチを適用しました。また、コードは実際のソフトウェアをベースにしていたため、チームは追加で18個の実際の（非合成）脆弱性も発見し、これらはオープンソースプロジェクトの管理者に報告されました。大会中、実際の脆弱性に対して11個のパッチが提供されました。

受賞者を発表するプレスリリースによると、競技課題のコストは平均で152ドルであり、バグバウンティが数百から数千ドルかかるのと比べて大幅に低コストです。

受賞者は、CRSの発見速度、バグレポートの分析、パッチ生成速度、パッチ品質に基づく評価システムで採点されました。受賞チームはTeam Atlanta、Trail of Bits、Theoriで、それぞれ400万ドル、300万ドル、150万ドルを受け取ります。

ファイナリスト7チーム全てのCRSはオープンソース利用のために公開される予定であり、DARPAはこの技術の普及を目指して官民と連携しています。

キャスリーン・フィッシャー博士（DARPA情報イノベーションオフィス（I2O）ディレクター）は、ラスベガスのDEF CON 33でDark Readingの取材に応じ、大会の振り返りやオープンソースの力、AIxCCから生まれたAIセキュリティの最新動向について語りました。

Dark Reading：AIxCCプログラムは2年前、現代のLLMセキュリティ製品の第一波が登場し始めた時期に始まりました。開始時の期待はどのようなもので、それは実現しましたか？

キャスリーン・フィッシャー： 私たちがこのコンペティションを始めたのは、ある論文でAIシステムが予想以上のレベルで初歩的なバグを発見できることが示されていたからです。それを見て、「もしかしたら何かあるかもしれない」と思いました。

従来のバグ発見ツールは一度だけ結果を返すものでした。何かを教えてくれて、それを受け入れるか無視するかだけでした。しかしChatGPTのようなツールでは、回答をもらった後に「ではこれは？」と追加で質問できます。システムと対話できるので、対話がない場合よりもはるかに良いパフォーマンスが期待できるのです。これは非常に刺激的で、探求する価値のある道があると示唆されました。

この分野が非常に速く動いていることは分かっていたので、コンセプトから提案、プログラム開始までの期間は非常に短く、6～8週間ほどでした。DARPAでプログラムを始めるのにかかる時間は様々ですが、今回は非常に短期間で、Google、Anthropic、OpenAI、Microsoftなどのパートナーもすぐに参加してくれました。彼らも非常に早くサインアップしてくれたので、Black Hat 2023で発表することができました。

とはいえ、これは突拍子もないアイデアなのか、それとも本当にうまくいくのか、まだ判断がつかない状況でした。それはCTF Radioooポッドキャストのチームインタビューにも表れていて、「うまくいくとは思っていなかった」という声が多かったです。競技には前向きでしたし、サイバー推論の部分は強力だと考えていましたが、AIがどれだけ役立つかには懐疑的でした。

しかし競技が進むにつれ、全員がAIシステムが非常に大きく貢献していると認めるようになりました。プログラムを通じて皆が信じるようになったのです。決勝の結果には大満足しています。これでAI搭載のサイバー推論システムが100％脆弱性を発見し修正できることを示しました。

DR：決勝で生まれたサイバー推論システムをオープンソース化する決断に至った理由は？

フィッシャー： 技術が閉じ込められて消えてしまうことを防ぐため、オープンソース化したいと考えました。どんな状況でも世の中に出ていることを確実にしたかったのです。

それだけでなく、技術が商用化され、利用者自身が使わなくても誰かに使ってもらえるようになることも期待しています。3位のTheoriはその方向性を話していますし、Team Atlantaを支援するSamsungはすでにチームのCRS技術を社内で活用しています。

オープンソースでも商用提供でも、幅広く技術が利用できるように様々な支援を行っています。とにかく世の中に出てほしい。できるだけ多くの人がこれらの技術を使えるようにして、脆弱性をできるだけ早く潰したいと考えています。

DR：なぜ重要インフラのオープンソースソフトウェアに注目したのですか？

フィッシャー： いくつか理由があります。一つは、オープンソースコードはあらゆる場所で使われていることです。オープンソースコードの品質を大幅に向上させることで、全体のセキュリティ品質も大きく向上します。

また、競技運営の観点からも、プロプライエタリや機密コードでは大会を運営できません。そうするとコストも大幅に上がり、制約も増えます。できるだけ多くの参加者に門戸を開き、最高の才能と品質を集めることが目標の一つでした。

AIxCCのもう一つの目標は、人々の意識を変え、より高品質なソフトウェアを求めるようにすることです。バグを見つけて修正できることが分かれば、なぜこんなにバグが多いのかと疑問を持つかもしれません。バグだらけのソフトウェアが病院のハッキングを招いたり、Salt TyphoonやVolt Typhoonのような国家安全保障上の問題を引き起こすことを、受け入れなくなるかもしれません。

そのため競技は公開でなければなりません。そして公開であるなら、オープンソースコードでなければなりません。こうした理由が決定に影響しました。

DR：AIxCCから生まれた大きなイノベーションは何だと思いますか？

フィッシャー： チームの話を聞くと、従来のプログラム解析と、特定のタスクを非常に慎重なガードレールのもとで行うAIエージェントを組み合わせた、非常に優れたシステムをそれぞれが設計していることが分かります。

過去2年間、チームはこの2つをどう組み合わせるかを模索してきました。なぜなら、質の悪いパッチや大量の誤検知を生むシステムでは意味がないからです。彼らは誤検知率を非常に低く抑え、生成したパッチも非常に高品質でした。

しかし、肝心なのはどうやってそれを実現したかです。どうやってこの2つの全く異なる技術を、コストと誤検知率を抑えつつ戦略的に組み合わせたのでしょうか？

従来の静的解析やサイバー推論システム技術と、最先端モデルをこのように組み合わせる発想は、これまでなかったと思います。競技のおかげで、バグの発見と修正のスピードが劇的に加速したと考えています。