学術研究者は、15年間オープンソースプロジェクトに静かに広がってきた重要なソフトウェアの脆弱性の修正を追い詰め、検証し、生成できる生成AIを使用して自動システムを開発しました。 AI搭載のパイプラインは、GitHubで1,756の脆弱なnode.jsプロジェクトをすでに特定しており、そのうち63がパッチを適用されることに成功し、自動セキュリティ修復に対するエンドツーエンドのアプローチの実行可能性を証明しました。システムは欠陥を見つけるだけでなく、OpenaiのGPT-4を使用してパッチを書き込み、検証し、攻撃者が制限されたサーバーファイルにアクセスできるようにするセキュリティホールを効果的に閉じます。脆弱性管理の完全なライフサイクルに、これまでに達成できなかったスケールで取り組んでいます。しかし、彼らの調査結果はまた、厳しい警告が付いています。ソフトウェア開発の将来が「中毒」されるため、非常にAIモデルが告知され、同じ不安定なコードを再現することを学びました。
永遠のバグの解剖学研究者は、2010年にGithub Gistで最初に共有されたスニペットに欠陥のあるnode.jsコードを追跡しました。そこから、開発者フォーラム全体でコピーされ貼り付けられ、数千のプロジェクトに貼り付けられ、長年にわたってコードに関する懸念を提起した開発者は、コミュニティフォーラムでしばしば却下されました。欠陥の欺cept的な性質は、その広がりに貢献しました。最新のWebブラウザーは、バグをトリガーする悪意のある入力を自動的に消毒するため、開発者自身のテストは危険を明らかにすることができませんでした。これにより、誤ったセキュリティの感覚が生まれ、脆弱なパターンが無数のアプリケーションのDNAに深く定着するようになりました。これは、脆弱性に関連するコードパターンのスキャブをスキャンすることから始まり、静的分析を使用して高耐性候補にフラグを立て、その後、安全な環境の欠陥を積極的に悪用して誤検知を排除しようとします。確認された脆弱性のために、GPT-4にパッチを生成するように促します。これにより、アプリケーションを破らずに問題を修正するようにテストされます。同様に、メタは2025年4月に 可能性は膨大ですが、アプローチには批評家がいます。 2025年4月の発表で、メタは Googleの以前のプロジェクトNaptime から出現しました。
昨年、Startup Protect AIは、AnthropicのClaudeモデルを使用した商用ツールであるVulnhuntrを発売し、Pythonコードのゼロデイの脆弱性を見つけました。会社は現在プロジェクトのオープンソースコミュニティ開発を促進するために。脆弱性がAIモデル自体に感染した方法です。大規模な言語モデルは、Githubの膨大な大部分のパブリックコードでトレーニングされているため、標準的な慣行として不安定なパターンを学びました。研究者たちは、単純なファイルサーバーの作成を求められたとき、多くの人気のあるLLMが安全なバージョンを書くように明示的に促した場合でも、15歳のバグを自信を持って再現することを発見しました。 endor labs によれば、AIで生成されたコードの62%がバグまたはセキュリティの欠陥を含みます。課題はもはやレガシーコードを修正するだけでなく、将来のコードを構築するツールが過去の過ちを永続させていないことを確認することです。
学術プロジェクトは、サイバーセキュリティのためのより大きなエスカレートするAIアームレースの重要な戦いです。この分野は、企業がAIを駆動する防御を構築するために急いでいるため、投資と革新の大幅な流入を見ています。
この傾向は加速しています。 2025年3月、セキュリティ会社
このイノベーションの波は、基本的な変化を強調しています。研究者のプロジェクトは、アカデミックですが、現在は二重の課題によって定義されている分野での強力な概念の証明です。AIを強力な防御武器として活用しながら、AI自体が作成する新しいセキュリティリスクを緩和すると同時に緩和します。ソフトウェアセキュリティの将来は、この複雑なバランスを最初に習得できる人に依存する可能性があります。
このイノベーションの波は、基本的な変化を強調しています。研究者のプロジェクトは、アカデミックですが、現在は二重の課題によって定義されている分野での強力な概念の証明です。AIを強力な防御武器として活用しながら、AI自体が作成する新しいセキュリティリスクを緩和すると同時に緩和します。ソフトウェアセキュリティの将来は、この複雑なバランスを最初に習得できる人に依存する可能性があります。