AI技術が脆弱性発見の2つの文化を破綻させている
原題: AI is breaking two vulnerability cultures
なぜ重要か
AIの発達がサイバーセキュリティ業界の従来の脆弱性対応プロセスを根本的に変革している点で重要
AI技術の発達により、従来のソフトウェア脆弱性対応の2つのアプローチが機能しなくなっている。Linux等で使われる「バグはバグ」文化と、90日間の修正猶予期間を設ける「協調開示」文化の両方が、AIによる脆弱性発見の高速化で破綻。Copy Fail脆弱性事例では、報告から9時間で別の研究者も独立発見した。
Copy Fail脆弱性の事例では、研究者キム・ヒョンウ氏がLinuxの標準手順に従い、脆弱性の影響を非公開のセキュリティエンジニアリストと共有し、静かに修正を進めた。しかし別の人物が変更に気づき、セキュリティ上の意味を理解して公開したため、エンバーゴ(報道規制)が破られた。従来の脆弱性対応には2つの文化がある。「協調開示」文化では、発見者が保守担当者に非公開で報告し、通常90日間の修正時間を与える。一方、Linuxで一般的な「バグはバグ」文化では、注意を引かずに可能な限り迅速に修正する。しかしAIによる脆弱性発見能力の向上により、両方のアプローチが機能しなくなっている。多くのセキュリティ修正がリリースされるため、コミットの検査がより魅力的になり、シグナル対ノイズ比が向上している。さらに、AIによる各コミットの評価がますます安価で効果的になっている。著者がGemini 3.1 Pro、ChatGPT-Thinking 5.5、Claude Opus 4.7でテストした結果、すべてがセキュリティパッチを即座に識別できた。長期エンバーゴも問題で、ESP脆弱性の場合、キム氏の報告から9時間後にクァン・ティン・チェン氏も独立して同じ脆弱性を報告している。