サイバーセキュリティのBugcrowd、AIモデルが実環境のセキュリティスキルを習得するための強化学習環境RL Environmentsをリリース

プリエンプティブ・サイバーセキュリティの主要プレイヤーであるBugcrowdは、AI開発者が実ソフトウェアの脆弱性を発見・悪用・修正できるモデルを構築するための新しい提供サービス「Reinforcement Learning (RL) Environments」をローンチしたと発表しました。本プロダクトは、同社が買収したMayhem Securityのテクノロジー基盤の上に構築されており、すでに主要なLLMプロバイダーがセキュリティ能力の高いAIモデルを開発する目的で利用を開始しています。フロンティアAIチームは、リアルなセキュリティ環境上でのトレーニングを「数年単位」ではなく「数週間単位」で開始できる、というのが今回の核心的な提供価値です。

セキュリティ用途のAIモデルを構築する難しさは、これまで「合成データ」に依存していた点に集約されます。実際の脆弱性挙動を反映できない合成データに基づくと、制御されたテストでは高性能でも、本番ソフトウェアの欠陥に対峙した瞬間に破綻するモデルが出来上がります。攻撃側に必要なのはバグの発見、トリガリング、悪用可能性評価といった多層的なスキルであり、防御側についても「アプリケーションを壊さずに直す」のは「見つける」のとは根本的に別のタスクです。Bugcrowd RL Environmentsは、こうした攻防双方のタスクを、実ソフトウェアと「ステップごとに目的的にスコアリングする評価器（grader）」を組み合わせてトレーニングする設計になっています。Bugcrowd CEOのDave Gerryは、「AIエージェントが学習対象としているものと、実世界で出会うものとの間にあるギャップこそが、セキュリティが破綻する場所だ。我々のRL Environmentsは、近似データではなく実在の脆弱性からセキュリティを学ぶAIを構築するためのインフラを、フロンティアチームに提供する」と述べています。Bugcrowdは、Mayhem Securityの買収によりオートノマスなコード／APIテスティング機能を取り込み、AIセキュリティ・インフラ領域へと事業を拡張してきました。RL Environmentsはその基盤を「上流」へ延ばし、セキュリティを理解するエージェントをスケーラブルに構築するための学習インフラを、フロンティアAIラボに提供するピースとなります。

技術的に注目すべきは、AIエージェントに「読む」のではなく「解く」体験を与える設計です。エージェントは脆弱性に関する文献を学習するのではなく、実際にバグを見つけ、悪用し、修正することを試み、そのパフォーマンスに対して即時かつスコアリング済みのフィードバックを受け取ります。このアクション＆フィードバックのサイクルこそが強化学習の中核であり、Bugcrowd RL Environmentsはこのサイクルを大規模に運用できるよう設計されています。プラットフォームには数十万規模のトレーニング環境が用意されており、各環境はオープンソースの本物の脆弱性、実ソースコード、検証可能なアウトカムから構築されているうえ、追加のインフラ設定なしですぐに利用できます。すべての環境はオープンソースソフトウェアからのみ派生しており、トレーニングプロセスのいかなる段階でも顧客データやセキュリティリサーチャーは使用されません。Bugcrowd Chief AI and Science OfficerのDr. David Brumleyは、「ほとんどのAIセキュリティ・トレーニングは早すぎる段階で止まっている。モデルはバグを見つける方法は学ぶが、そのバグが本物で悪用可能であることを証明する方法までは学べていない。セキュリティを学ばせる方法は『セキュリティの様子を見せる』ことではなく、『実問題を与えて、解けたかどうかを率直にフィードバックする』ことだ。我々はBugcrowdで、検出から悪用、パッチ適用、監査までモデルを押し上げる環境、評価器、報酬構造を何年もかけて構築してきた」と語っています。あわせて、AIモデルのエクスプロイト開発能力を測定するベンチマークフレームワーク「ExploitBench」も同社から公開されており、本RL Environmentsは、自前で何年もかけて学習インフラを組み上げる代わりに、即座に現実世界レベルのセキュリティ推論を学べる土台として、LLMプロバイダーやフロンティアAIリサーチチームに提供されます。

Bugcrowdについて
Bugcrowdは、2012年にCasey Ellis（ファウンダー兼チーフ・ストラテジー・オフィサー）、Chris Raethke、Sergei Belokamenによってオーストラリアで創業された、クラウドソースサイバーセキュリティ／プリエンプティブセキュリティのプラットフォームを提供する企業で、現在は米国・サンフランシスコを本社に、オーストラリアにも拠点を構えるグローバル組織です。バグバウンティを起点に、脆弱性開示プログラム（VDP）、ペネトレーションテスティング・アズ・ア・サービス（PTaaS）、アタックサーフェスマネジメント、そして近年は自律的なコード／APIテスティングおよびAIセキュリティ・インフラへと提供領域を拡大してきました。AIによる研究者マッチング技術「CrowdMatch」と、50万人超のセキュリティリサーチャーから成るグローバルなハッカーコミュニティを軸に、OpenAI、T-Mobileを含む1,000社規模のエンタープライズ顧客にサービスを提供しています。CEOのDave Gerryは2022年11月に就任以降、マネジメントチームの再構築と国際展開、AI領域への投資を主導しており、Chief AI and Science OfficerのDr. David Brumleyらと共に、AI時代のセキュリティテスティング基盤への進化を牽引しています。資金調達面では、2024年2月にGeneral Catalystがリード（Rally Ventures、Costanoa Venturesが参加）した1億200万ドルのシリーズEを実施し、累計調達額は1億8,000万ドル超、評価額は10億ドル規模に到達したほか、米国連邦政府向けクラウドサービスに関するセキュリティ認証「FedRAMP Moderate Authorization」も取得しており、規制度の高い領域への提供基盤を強化しています。