英国の国立サイバーセキュリティセンター(NCSC)は火曜日、いわゆる「バイブコーディング」の台頭により、ソフトウェア・アズ・ア・サービス(SaaS)業界が再形成される可能性があり、組織が適応に失敗した場合には新たなサイバーセキュリティのリスクが導入される可能性があると警告した。
この警告は、サンフランシスコのRSAカンファレンスでのNCSCのチーフエグゼクティブであるリチャード・ホーン氏の発言と同時に発表されたもので、彼はセキュリティ専門家に対してAIコーディングツールが「セキュリティにとってのネットプラス」となることを確保するよう促した。
デジタル社会が既知でありながら修正可能なソフトウェアの脆弱性クラスを悪用するサイバー攻撃の急増に直面していることを強調して、再び、ホーン氏はAIツールが単に安全でないソフトウェアの生産を広がらせるリスクがあると述べた。
彼のコメントは、2月のソフトウェアおよびクラウド企業の株価の大幅な下落に続くものである。この下落は、「バイブコーディング」(AIツールと最小限の人間の入力を用いて開発されたソフトウェアを説明するために使用される用語)がサブスクリプションベースのSaaSプラットフォームの需要を減らす可能性があるという投資家の懸念によって駆動されたものだ。
「バイブコーディングの魅力は明白です」とホーン氏はRSAに語った。「一貫して脆弱な手動開発ソフトウェアの現状を打破することは大きな機会ですが、それ自体にリスクがないわけではありません。私たちがコード開発に使用するAIツールは、意図しない脆弱性を導入または拡散しないよう、最初から設計・訓練される必要があります。」
スピーチと併せて発表されたブログ記事の中で、NCSCはAI支援ソフトウェア開発の進歩により、すでに組織がコード記述にアプローチする方法が変わっており、今後数年間でSaaSモデルの大きな変動を引き起こす可能性があると述べた。
2月の売却を「10億ドルの揺らぎ」と表現し、「SaaSpocalypse」という用語に言及している同機関は、開発者がAIツールを使用してSaaS製品の代替品を数時間で構築した逸話的な例を挙げた。特に上昇するサブスクリプション料金や機能制限に対応する場合に顕著である。
SaaS業界は、ソフトウェアへのサブスクリプションベースのアクセスを提供しながら、インフラストラクチャ、保守、セキュリティをベンダーに委譲することで、エンタープライズITを支配してきた。
火曜日のブログ記事で、NCSCはAIツールが「十分にカスタマイズされた」ソフトウェアをインハウスで構築することをより速く、より安くするにつれて、このダイナミクスが変わる可能性があると述べた。これはSaaS企業自体の台頭とクラウドコンピューティングの初期採用を促したのと同じビジネスインセンティブによって駆動されている。
しかし、AI生成コードは信頼性に欠け、保守が困難で、セキュリティ欠陥に対して脆弱であり、バイブコーディングシステムの背後にある者たちがリスクに対して寛容過ぎる場合、脆弱なシステムが配置される可能性を増加させると警告した。
NCSCは組織に対し、技術の発展に伴ってセキュリティを優先することを促し、AIシステムがデフォルトで安全なコードを生成すること、モデルの整合性を検証すること、自動コードレビューとテストの使用を拡大することを含めた。
「セキュリティ専門家が最初から関わらなければ、クラウド採用の初期段階でおそらくそうであったように、この重要な入力なしに状況は進化するでしょう」とブログ記事は述べた。
「セキュリティコミュニティが直面する課題は、『バイブコード化された未来』がより安全であることを確保するために、正確に何を導入する必要があるのかをまだ誰も知らないということです…最初からこの課題に真摯に向き合えば、私たちはいくつかの強力なセキュリティの基礎を導入する機会があります。」
NCSCは、SaaSへのいかなる混乱も数年間にわたって発生する可能性が高く、採用はシステムの複雑さと組織のリスク許容度によって異なると述べた。
しかし、同機関は、セクター内で生き残る唯一の企業は「バイブコード化された代替品で容易に置き換えられない企業、おそらくそのサービス自体がビジネスにとって不可欠になった、または規制要件を満たしている、または単に顧客全体にわたってデータの臨界質量を有しているため」であることを「簡単に想像できる」と述べた。
翻訳元: https://therecord.media/vibe-coding-uk-security-risk
