ワシントン — サイバーセキュリティの専門家は、AIがソフトウェアの脆弱性を発見する能力を安易に喜ぶべきではない。なぜなら、欠陥の発見は問題の一部に過ぎないからだ。元米政府高官が月曜日に述べた。

ドナルド・トランプ大統領の最初の任期中にサイバーアドバイザーを務めたロブ・ジョイス氏は、Googleのサイバー防御サミットで次のように語った。「一部の人々は、『素晴らしい、LLMがすべてのソフトウェアをスキャンし、大規模にバグを発見し、悪意のある攻撃者が悪用する前にパッチを適用するだろう』と言うでしょう。しかし、その理論の問題は、我々がパッチ適用が苦手だということです。」

Googleや他の大手テクノロジー企業は、AIが特定した欠陥を迅速にトリアージし、パッチを適用できるかもしれない。しかし、国家安全保障局（NSA）のサイバーセキュリティ局長やエリートハッキング部隊「Tailored Access Operations」のチーフなど、NSAで要職を歴任したジョイス氏は、「現在のエコシステムには、サポートされていない、あるいはレガシーな技術が非常に多く、パッチをインストールできる人材がいない」と指摘した。

ジョイス氏によると、AIはすでにソフトウェアの欠陥発見において人間を凌駕している。6月には、AIエージェント「XBOW」がHackerOneのリーダーボードでトップに立ち、人間以外の脆弱性報告者として初めてその偉業を達成した。XBOWはそれ以来、リーダーボードに名を連ね続けている。

「AIはこれらのネットワークを狙い、あらゆるドアノブを常に揺さぶり続けています」とジョイス氏は述べ、「睡眠や食事、愛する人との時間を必要とする人間よりも多くの脆弱性や欠陥を発見します」と続けた。

AIが人間よりも速く脆弱性を特定できる世界では、サポートされていない、あるいは不適切に保守されているソフトウェアが、ますます最大のリスク源となるだろうとジョイス氏は語った。「我々は、より強く、より良いものを構築するために、すべてを焼き尽くさなければならない西海岸の山火事のような事態を目にするかもしれません」とジョイス氏は警告した。

**エージェントAIのハイジャック**

マンディアントのチーフアナリストであるジョン・ハルトクイスト氏との基調講演で、ジョイス氏はまた、AIエージェントを電子メールプラットフォーム、ナレッジベース、その他のビジネスシステムに接続している企業に対し、深刻な新たなリスクにさらされていると警告した。

「最近、企業内でAIが悪用された例があります。ハッカーが企業のシステム内部にアクセスした後、AIエージェントを使ってランサムウェア攻撃や恐喝攻撃に最も役立つものを検索しているのです」とジョイス氏は述べた。「データに対してLLMクエリを実行し、攻撃者が最も武器化したいものを見つける最初のマルウェアが登場しています。」

AIが企業の貴重なシステムへの入り口を提供することで、北朝鮮の利益を追求するハッカー集団は「AIシステムへの攻撃が非常に得意になるだろう」とジョイス氏は語った。

「そこには金があり、彼らは非常に創造的であることを示してきました」と彼は付け加えた。

元記事: https://www.cybersecuritydive.com/news/ai-vulnerability-detection-worse-rob-joyce-nsa/700000/