Source: https://www.securityweek.com/google-deepminds-new-ai-agent-finds-and-fixes-vulnerabilities/
🛡 概要
GoogleのDeepMindは、自律的に脆弱性を発見し修正するAIエージェントを発表しました。この新しい技術は、ソフトウェアの脆弱性を迅速かつ正確に特定し、修正する能力を持っています。特に、最近発見されたSQLiteの脆弱性を修正した事例が注目されています。AIを利用した脆弱性発見の重要性が増す中、CodeMenderという新しい製品は、従来の手法では追いつけないほどの速度で脆弱性を特定し、修正することが可能です。これにより、開発者はセキュリティの脅威に迅速に対応できるようになります。
🔍 技術詳細
最新のCodeMenderは、Gemini DeepThinkモデルを活用し、既存のコードを書き換え、セキュリティバグを排除します。具体的には、CodeMenderは静的分析、動的分析、ファジング、差分テスト、SMTソルバーを使用して脆弱性の根本原因を特定します。さらに、特定の問題に対処するために特別なエージェントを開発し、変更が回帰を引き起こさないかを確認するための大規模言語モデルに基づくツールを利用しています。このような高度なプログラム分析技術は、AIがコードの振る舞いを理解し、実行せずに予測できる能力を支えています。
⚠ 影響
CodeMenderは、過去6ヶ月間に72件のセキュリティ修正をオープンソースプロジェクトに提供しました。これにより、何百万行ものコードを含むプロジェクトでも、脆弱性が迅速に修正される可能性があります。しかし、すべてのパッチは提出前にレビューされるため、慎重な運用が求められます。AIによる脆弱性発見の進化は、従来の手法では追いつけないリスクを生む可能性があります。このような状況では、企業や開発者はAIの強力な能力を活用しながら、依然として人間の判断が必要です。
🛠 対策
企業や開発者は、AIツールを利用しつつ、手動でのコードレビューやテストを行うことが重要です。特に、AIエージェントの導入に際しては、すべての変更を確認し、潜在的なリスクを評価する体制を整える必要があります。AIの進化に伴い、脆弱性修正のプロセスも見直す必要があります。定期的なセキュリティトレーニングや、AIを活用した脆弱性管理の手法を導入することで、より安全なソフトウェア開発環境を構築することが可能です。
