先週、AnthropicはGlasswingプロジェクトを発表しました。これは、ソフトウェアのセキュリティ上の欠陥を非常に高い精度で発見できるAIモデルであり、同社は公開を延期することを選択しました。その代わりに、Apple、Microsoft、Google、Amazonなどの大手企業にアクセスを提供し、悪意のある攻撃者に悪用される前にエラーを修正できるようにしました。Glasswingの基盤となるMythos Previewモデルは、脆弱性を特定する前例のない能力を実証しました。
自動化された欠陥検出の仕組み 🛡️
Glasswingは、深層学習技術を採用してソースコードとバイナリを分析し、バッファオーバーフローやSQLインジェクションなどの脆弱性に先行するパターンを特定します。従来のツールとは異なり、このモデルは既知のシグネチャに限定されず、新しいクラスのエラーを推論することができます。その成功率は市販のどのスキャナーよりも高く、Anthropicは慎重な姿勢をとっています。同社は、このツールが悪意のある者の手に渡れば、利益よりも害を及ぼす可能性があることを懸念しています。
AIが上司よりもバグを見つける時代 😅
今や、人工知能があなたの会社のQAチームよりもセキュリティホールを見つけるのが得意だということが明らかになりました。Anthropicは、珍しい責任感から、Glasswingを一般公開しないことを決定しました。代わりに、大手テクノロジー企業に提供しました。その結果は?Apple、Microsoft、Googleは、AIがハッカーに脆弱性をさらす前に、自社の欠陥を修正するために努力を強化する必要があるでしょう。つまり、あなたのコードがスイスチーズよりも穴だらけなら、監査が当たらないことを祈るしかありません。