プログラマーは近い将来、ソフトウェア開発でAI生成コードを使用するようになる可能性があるが、その潜在力を最大限に引き出すには、サイバーセキュリティコミュニティがセキュリティおよびデータプライバシーのリスクを克服しなければならない。
Infosecurity Europe 2024での講演で、Synopsysのアプリケーションセキュリティエンジニアリング担当エグゼクティブディレクターであるルーカス・フォン・ストックハウゼン氏は、生成AIを業務で利用する際にプログラマーが直面する主な課題を共有した。
今日、AIがコーダーをどう支援しているか
元エンジニアである同氏は、コンサルティング会社Gartnerの見解を引用し、生成AIは間違いなくソフトウェアのコーディングを大きく変えると述べた。
「実際、AI技術はすでにプログラマーの生産性に大きな影響を与えています」と彼は続けた。
例えば、2022年のGitHub Copilotの分析では、AIによってコードのデプロイが25%改善し、開発者の全体的な生産性が50%向上したことが示された。
しかしストックハウゼン氏は、生成AIの採用が広がるにつれてこれらの数値はさらに増える可能性が高いとしつつも、完全にAI生成されたコードのユースケースはまだ存在しないとも認めた。
主な理由は、現在の生成AIツールは特定のタスクには強い一方で、複雑な要求にはあまり対応できないためだ。
「例えば、GitHub Copilotはクロスサイトスクリプティングや操作の不適切な制限といった特定のセキュリティ上の弱点を回避するのが得意であることが証明されていますが、不適切な入力検証やオペレーティングサービスのコマンドインジェクションなど、別の弱点には特に陥りやすいようです」とストックハウゼン氏は付け加えた。
他の理由としては、大規模言語モデル(LLM)ベースのツールが、脆弱なコードや不適切に書かれたコードを再利用しがちな点が挙げられる。これは、誤った情報やハルシネーションを提供することがあるのと同様だ。
「現在、コード生成におけるAIの利用は、AIコーディングアシスタント、AI対応アプリケーション、そして商用の大規模言語モデルがプログラマーを支援する、という3種類です」と彼は付け加えた。
AI生成コードの主な課題
コーディング向けに設計された生成AIツールは、いずれより効率的で正確になっていくとストックハウゼン氏は述べた。
こうした予測される進歩は歓迎すべきものだが、主にAIツールを用いてコードを生成することには、依然として重大な技術的リスク、セキュリティリスク、プライバシーリスクが伴うとも彼は付け加えた。
そのためサイバーセキュリティコミュニティは、すでに次のような主要課題の一部を緩和する方法を構築しておくべきだという。
- AI生成コードの可視性の欠如
- オープンソースソフトウェアのライセンス違反
- コードのセキュリティと品質
- 技術的負債の指数関数的な増殖
- LLMエコシステムへの知的財産(IP)の漏えい
ストックハウゼン氏は、「LLM向けOWASP Top 10のようなリソースは始めるのに最適な場所ですが、これらの課題すべてに対処するには十分ではありません」と述べた。
明日のAI生成コードツールを安全にする
ストックハウゼン氏は、AI生成コードが主流になる前にこれらのリスクに対処するための優先事項を3つ挙げて推奨した。
それは次のとおりだ。
- IP保護を最優先事項として、AI利用のポリシーと実務を定義する
- AIコーディングアシスタントを慎重に選定する
- AI生成コードをただ信頼するのではなく、人間が生成したコードを検証するのと同じ方法で検証する
翻訳元: https://www.infosecurity-magazine.com/news/tackling-cyber-challenges-ai-code/
