Veracodeが年次のソフトウェアセキュリティレポートを発表しました。クラウドプラットフォームでテストされた160万個のアプリケーションのデータに基づいており、修正される以上に多くの脆弱性が作成されていること、そしてAIを活用した高速開発が包括的なセキュリティを達成不可能にしていることを明らかにしています。
同社は「1年以上未解決のままとなっている既知の脆弱性」をセキュリティ債と定義しており、これが現在82パーセントの企業に影響しており、1年前の74パーセントから増加しています。重大かつ悪用されやすい欠陥を意味する高リスク脆弱性は8.3パーセントから11.3パーセントに増加しています。これらの数字は、静的解析(コード解析)、動的解析(ランタイム動作テスト)、ソフトウェア構成解析(ライブラリの依存関係などのソフトウェアコンポーネント検査)、および手動侵入テストの組み合わせから得られたものです。
朗報もあります。オープンソースの脆弱性を持つアプリの数は70パーセントから62パーセントに減少し、全体的な「欠陥の蔓延」は80パーセントから78パーセントに低下しています。
研究者は、テストツール使用の増加をこの増加の要因の1つとして挙げており、悪化した数字の要因の1つは、以前は見落とされていた可能性がある問題がより多く検出されていることであると示唆しています。偽陽性の数は不明であるため、数字は一見ほど悪くない可能性があります。
Veracodeによると、ソフトウェアリリースのペースも加速しており、既存の脆弱性に対処するよりも迅速に新しいコードが追加されています。研究者はまた技術的複雑さの増加も指摘しており、これはAIで生成されたコードの増加に起因するもので、修復をより困難にしています。
Veracodeの最新レポートによると、アプリケーションセキュリティは増加する問題である
AIの影響を特定することは困難です。ソフトウェアセキュリティ企業は、AIツールが脆弱性の識別と修復の自動化に役立つ可能性があることを示唆しているからです。また、研究者は悪意のある行為者がAI侵入ツールで成功する可能性があること、またプロンプトインジェクションなどの技術を使用してモデルを操作する可能性があることを指摘しています。
VeracodeはいつものようにAIツールに対する人間の監視の重要性に言及していますが、それが正確に何を意味するかは不明確です。例えば、CloudflareのAIコーディングの最新の取り組みでは、コードのほとんどが人間による審査なしで1週間でかなり大規模なアプリケーションが構築されました。このような場合、セキュリティが無視されるか、または既知の欠陥があるにもかかわらずAIに大部分が委託されるのは避けられないようです。AIツールはまた、偽陽性を生成するのに優れており、人間のコードレビュアーに対して対処不可能な可能性のある負担を生じさせます。
「AI時代における開発速度は包括的なセキュリティを達成不可能にする」とレポートは述べており、これは暗い結論です。さらに「修復ギャップは危機的レベルに達しており、段階的な改善では不十分であり、変革的な変化が必要である」と述べています。
何をすべきかを特定することは難しいです。業界がこのレポートのような報告書からの証拠にもかかわらず問題改善に失敗しているにもかかわらず、より多くのAIツール化を答えとして宣伝する可能性が高いと推測されます。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/26/veracode_security_ai/
