AIは機械語をリバースエンジニアリングし、古いレガシーアーキテクチャの脆弱性を発見することができると、マイクロソフト Azure CTO のマーク・ルッシノビッチ氏は述べています。彼は40年前の自身のApple IIコードを例として使用しました。
ルッシノビッチ氏は「私たちは、ディフェンダーと攻撃者の両方に利用される自動化されたAI加速脆弱性発見の時代に入っています」と述べた。
1986年5月、ルッシノビッチ氏はApple IIパーソナルコンピュータ向けのEnhancerというユーティリティを作成しました。6502マシン言語で書かれたこのユーティリティは、GOTO、GOSUB、またはRESTOREコマンドの宛先として変数またはBASIC式を使用する機能を追加しました。修正がない場合、Applesoft BASICは行番号のみを受け入れます。
ルッシノビッチ氏は先月初めにリリースされたClaude Opus 4.6にコードを確認させました。マシン言語をデコンパイルし、複数のセキュリティ問題を発見しました。これには「無声の不正な動作」のケースが含まれます。宛先行が見つからない場合、プログラムはエラーを報告する代わりに、ポインタを次の行またはプログラムの終わりを超える位置に設定します。修正は、行が見つからない場合に設定されるキャリーフラグをチェックし、エラーにブランチすることです。
Claudeが40年前のApple II用タイプインコードの脆弱性を発見
Apple IIタイプインコードの脆弱性の存在は単なるユーモア的価値を持っていますが、AIが埋め込みコードをデコンパイルし脆弱性を発見する能力は懸念事項です。「世界中に数十億のレガシーマイクロコントローラーが存在し、多くはこのような脆弱またはあまり監査されていないファームウェアを実行している可能性があります」とルッシノビッチ氏の投稿へのコメントでは述べられています。
AnthropicがClaude Opus 4.6を導入したとき、同社はハッカーに悪用される可能性のある脆弱性をAIが素早く発見する問題について警告しました。
「最もよくテストされたコードベースのいくつかにOpus 4.6を向けたとき(数年間にわたってファジャーが実行されており、数百万時間のCPU時間を蓄積したプロジェクト)、Opus 4.6は高重度の脆弱性を発見しました。何十年も検出されていなかったものもあります」とAIリスクの認識を高める責任を持つ同社のレッドチームは述べた。
レッドチームは「これは素早く動く瞬間です…窓が存在する間にできるだけ多くのコードを保護することです」と提案しました。このアプローチは、Mozilla’s Firefoxのような現在の高名なオープンソースプロジェクトに対して機能する可能性があります。AIは14の高重度のバグを発見したようですが、埋め込みデバイスやレガシーアプリケーション上の古いコードの多くには現実的ではありません。
先月、Anthropicは「モデルが長く隠されたバグとセキュリティ問題を見つけることがいかに効果的になったかを考えると、世界のコードの相当な割合がAIによってスキャンされることを期待しています」と述べました。
Anthropicの投稿のタイトルはこれらの機能をディフェンダーに有料で利用可能にすることに焦点を当てていますが、これがサイバーセキュリティに対する本当の正味の利益であるとは疑わしいものです。
AIは無関係または存在しないセキュリティ問題を見つけるのが得意でもあり、AIスロップに溺れるメンテナーの負担を引き起こすため、ほとんどのオープンソースプロジェクトにとっても勝ちではありません。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/09/claude_legacy_code_vulns/
