Cyber SecurityのBackslash Securityが、AI 生成コードのセキュリティリスクを明らかに

アプリケーションセキュリティの革新企業Backslash Securityは、最近のGPT-4開発者シミュレーション演習を通じて、AI生成コードの重大なセキュリティ上の影響を明らかにしました。Backslash Research Teamが構築・実施したこのイニシアチブでは、LLM生成コードを使用し、潜在的なセキュリティブラインドスポットを発見しました。

ガートナーのデータによると、63%の組織がAIコード支援ツールのパイロット段階にあるか、すでに実装を開始しています。AI生成コードの魅力は、その簡便さと新しいコード開発の速度を上げる可能性にあります。しかし、この革新的な技術にはセキュリティリスクがあり、脆弱性を露呈する可能性があります。

AI生成コードに関連するセキュリティ上の落とし穴を探るため、Backslash Research Teamは一連のGPT-4を使ったテストを考案しました。これらの演習により、AI生成コードがサードパーティのオープンソースソフトウェア(OSS)に依存することに起因する主要なセキュリティブラインドスポットが特定されました。一部の大規模言語モデル(LLM)は静的データセットで訓練されているため、時代遅れのOSSパッケージを推奨していることが分かりました。これらのモデルは特定の時点で固定されているため、動的なパッチアップデートを取り入れていません。その結果、推奨するOSSパッケージには、新しいバージョンで修正されている固有のセキュリティ脆弱性を持つ古いコードが含まれる可能性があります。

さらに懸念される問題は、LLM生成コードに含まれる可能性がある「ファントムパッケージ」です。開発者がほとんど認識していないこれらの間接的なOSSパッケージは、時代遅れで脆弱なパッケージを介してコード生成にセキュリティリスクをもたらす可能性があります。さらに、GPT-4の推奨事項にばらつきがあり、時に脆弱なパッケージバージョンを提案することから、開発者がAI生成コードを完全無欠のものと受け止め、深刻なセキュリティリスクを招く可能性があります。

コード生成にAIの利用が増えるにつれ、この問題のレビューがますます重要になっていることから、Backslash Securityはこの課題に取り組んでいます。同社はOSSに関するAI生成コードのセキュリティ問題に対処するためのコア機能を提供するプラットフォームを設計しました。これには、AppSecおよびプロダクトセキュリティチームが現実的な脅威を特定し優先順位付けできる詳細なリーチャビリティ分析と、「ファントムパッケージ」を発見しリスクレベルを評価する機能が含まれます。

Backslash Security共同創業者兼CEOのShahar Manは、コード作成方法の進化に伴いセキュリティ対策を適応させる重要性を強調しています。AI生成コードには多くの可能性がある一方で、より大規模な新たなセキュリティ課題をもたらすと認めています。Shahar氏は「当社の研究により、OSSに関連するAI生成コードによってプロダクトセキュリティ上の問題が生じるため、オープンソースコードを確保することがこれまで以上に重要になっていることが分かりました」と説明しています。

Backslash Securityの研究は、特にオープンソースソフトウェアへの依存と、時代遅れまたはファントムパッケージのリスクに関して、AI生成コードのセキュリティ上の影響を明らかにしています。組織がコード開発にAIを導入するにつれ、これらのセキュリティ課題に対処することが不可欠になります。Backslash Securityのプラットフォームには、これらのリスクを軽減するための重要な機能が備わっており、進化するアプリケーションセキュリティの脅威に対してセキュリティ対策を適応させる重要性が強調されています。