「生成AI」の出力コードに過信は禁物 - 安全性の確認を

同氏は、脆弱性への対策には専門的な知識を有した人材が対応にあたる必要があると強調した。

「生成AIにより、プログラマーが必要なくなる」「アプリケーションフレームワークの進化により要素技術を知らなくてもアプリを作れる」といった声も聞かれるが、いずれも「レースコンディション」や「トランザクション管理」など基礎的な対策であっても自動で面倒を見てくれるわけではないと指摘。

実際に同氏が脆弱性を作り込みやすいプログラムのコーディングを「生成AI」にリクエストしたところ、出力されたコードには予想どおり脆弱性が含まれていた。

世の中には安全ではないコードも多く出回っており、「生成AI」が学習したコードもセキュアなものとは限らないと述べ、そうした情報をもとに生成された出力コードを過信すれば、思わぬ事故につながるおそれもあると警鐘を鳴らした。

同氏は「セキュアコーディングにおいて開発者の専門性は依然として大事。高度なスキルを持ったIT人材が不足している」と述べ、今しばらくは同様の状況が続くと見ている。

（Security NEXT - 2023/12/18 ） ツイート

PR

関連記事

イベント説明会の申込フォームで設定ミス - えどがわボランティアセンター
MDMサーバに不正アクセス、従業員情報が流出 - 三菱オートリース
「Cisco FMC」に深刻な脆弱性 - 認証なしでコマンド実行のおそれ
Cisco、ファイアウォール製品群にアドバイザリ21件を公開
「Apache Tomcat」にアップデート - 脆弱性「MadeYouReset」を解消
「HTTP/2」実装に「MadeYouReset」脆弱性 - DoS攻撃のおそれ
「Exchange Server」のハイブリッド構成に深刻な脆弱性 - MSが定例外アドバイザリ
登録セキスペ試験、2026年度からCBT方式に移行
秘密管理ツール「OpenBao」に脆弱性 - 任意のコード実行が可能に
N-ableのIT管理ツールにゼロデイ脆弱性 - 米当局が悪用に注意喚起