パッチ適用は発見のペースに追いつけないだろう、と元ホワイトハウスおよび国家安全保障局の高官ロブ・ジョイス氏は述べた。
この音声は自動生成されています。ご意見があればお知らせください。
サイバーセキュリティの専門家は、AIがソフトウェアの脆弱性を発見できることをあまり早く喜ぶべきではない。なぜなら、欠陥を見つけることは問題の一部に過ぎないからだと、元米国政府のサイバー高官が月曜日に述べた。
「ある人たちは『素晴らしい、私たちはLLMが全てのソフトウェアをスキャンして大規模にバグを見つけ、悪意のある者が利用する前にパッチを当てられる』と言うでしょう」と、トランプ大統領の1期目にサイバー顧問を務めたロブ・ジョイス氏はワシントンで開催されたGoogleのCyber Defense Summitで語った。「しかしその理論の問題は、私たちはパッチ適用が苦手だということです。」
Googleや他の大手テック企業は、AIが特定した脆弱性を迅速に優先順位付けしパッチを当てることができるかもしれないが、「今や私たちのエコシステムにはサポートされていない、あるいはレガシーで、パッチをインストールできる人がいない技術があまりにも多い」と、NSAでサイバーセキュリティ部門長や精鋭ハッキング部隊「Tailored Access Operations」責任者などを歴任したジョイス氏は述べた。
AIはすでにソフトウェアの脆弱性発見において人間を上回っているとジョイス氏は述べた。6月には、XBOWというAIエージェントがHackerOneのリーダーボードでトップに立ち、非人間の脆弱性報告者として初めてその座を獲得した。XBOWはそれ以来リーダーボードに残り続けている。
「このAIはネットワーク全体を対象に、あらゆるドアノブを常にガチャガチャと試している」とジョイス氏は述べ、「そして、睡眠や食事、家族との時間が必要な人間よりも多くの脆弱性や欠陥を見つけている」と語った。
サポートされていない、または適切に管理されていないソフトウェアは、AIが人間よりも早く脆弱性を発見・修正できる世界において、ますます最大のリスク源となるだろうとジョイス氏は述べた。
「私たちは、西海岸の山火事のように、すべてを焼き尽くしてからより強くより良く再建するしかない、という状況に直面するかもしれません」とジョイス氏は警告した。
エージェント型AIの乗っ取り
ジョイス氏はMandiantのチーフアナリスト、ジョン・ハルクイスト氏との基調対談の中で、AIエージェントをメールプラットフォームやナレッジベース、その他の業務システムに接続している企業は、深刻な新たなリスクにさらされているとも警告した。
「最近、企業内でAIが悪用される事例がありました。…[ハッカーが]企業システム内にアクセスし、AIエージェントを使ってランサムウェア攻撃や恐喝攻撃に最も役立つ情報を探しているのです」とジョイス氏は述べた。「私たちは、あなたのデータに対してLLMクエリを実行し、攻撃に最も利用したい情報を探し出す最初のマルウェアが登場するのを目の当たりにしています。」
AIが貴重な企業システムへの入口を提供することで、ジョイス氏は、北朝鮮の金銭目的のハッカー集団が「AIシステムへの攻撃に非常に長けるようになるだろう」と述べた。
「そこには金がある」と彼は述べ、「彼らは非常に創造的であることをすでに示しています。」