元米国政府のサイバー高官であるロブ・ジョイス氏は、AIを活用した脆弱性検出がサイバーセキュリティの状況を改善するどころか、むしろ悪化させる可能性があると警鐘を鳴らしました。

ジョイス氏は、ドナルド・トランプ政権でサイバーアドバイザーを務め、国家安全保障局（NSA）のサイバーセキュリティ担当ディレクターやエリートハッキング部隊「Tailored Access Operations」の責任者など、要職を歴任しました。彼は、Googleのサイバー防御サミットで、「AIがソフトウェアの脆弱性を大規模に発見し、悪意のある攻撃者が悪用する前にパッチを適用できると考える人々もいるだろう。しかし、その理論の問題点は、我々がパッチ適用において非常に劣っていることだ」と述べました。

Googleのような大手テクノロジー企業は、AIが特定した脆弱性を迅速にトリアージし、パッチを適用できるかもしれませんが、エコシステムにはサポートされていないレガシー技術や、パッチをインストールできる人材がいない技術が多すぎるとジョイス氏は指摘します。

AIはすでに脆弱性発見において人間を凌駕しており、その一例として、AIエージェント「XBOW」がHackerOneのリーダーボードで初の非人間脆弱性報告者としてトップに立ち、それ以来その地位を維持していることを挙げました。ジョイス氏は、「AIは常にネットワークを探索し、あらゆるドアノブを揺さぶり続ける。そして、睡眠や食事、家族との時間を必要とする人間よりも多くの脆弱性や欠陥を発見する」と語りました。

AIが人間よりも速く脆弱性を特定できる世界では、サポートされていない、または適切にメンテナンスされていないソフトウェアが、ますます最大の脅威源となるでしょう。ジョイス氏は、「より強く、より良いものを構築するために、すべてを焼き尽くす西海岸の山火事のような事態を目にするかもしれない」と警告しました。

**エージェントAIのハイジャックに関する警告**

ジョイス氏はまた、Mandiantの主任アナリストであるジョン・ハルトクイスト氏との対談で、AIエージェントを電子メールプラットフォーム、ナレッジベース、その他のビジネスシステムに接続している企業が、深刻な新たなリスクにさらされていると警告しました。

彼は、「最近の事例では、ハッカーが企業システム内部にアクセスした後、AIエージェントを利用して、ランサムウェア攻撃や恐喝攻撃に最も有用な情報を検索している」と述べました。さらに、「LLMクエリをデータに対して実行し、武器化したいものを発見する最初のマルウェアが登場している」と付け加えました。

AIが企業の貴重なシステムへの入り口を提供する中、北朝鮮の利益を追求するハッカー集団は、「AIシステムへの攻撃において非常に熟練するだろう」とジョイス氏は予測しています。「そこには金があり、彼らは非常に創造的であることを示している」と語りました。

元記事: [AI-powered vulnerability detection will make things worse, not better, former US cyber official warns](https://www.cybersecuritydive.com/news/ai-vulnerability-detection-worse-not-better-former-us-cyber-official-warns/700000/)