「生成AI」の出力コードに過信は禁物 - 安全性の確認を
同氏は、脆弱性への対策には専門的な知識を有した人材が対応にあたる必要があると強調した。
「生成AIにより、プログラマーが必要なくなる」「アプリケーションフレームワークの進化により要素技術を知らなくてもアプリを作れる」といった声も聞かれるが、いずれも「レースコンディション」や「トランザクション管理」など基礎的な対策であっても自動で面倒を見てくれるわけではないと指摘。
実際に同氏が脆弱性を作り込みやすいプログラムのコーディングを「生成AI」にリクエストしたところ、出力されたコードには予想どおり脆弱性が含まれていた。
世の中には安全ではないコードも多く出回っており、「生成AI」が学習したコードもセキュアなものとは限らないと述べ、そうした情報をもとに生成された出力コードを過信すれば、思わぬ事故につながるおそれもあると警鐘を鳴らした。
同氏は「セキュアコーディングにおいて開発者の専門性は依然として大事。高度なスキルを持ったIT人材が不足している」と述べ、今しばらくは同様の状況が続くと見ている。
(Security NEXT - 2023/12/18 )
ツイート
関連リンク
PR
関連記事
メール「CC」送信で会員企業のメアド流出 - いばらき量子線利活用協議会
「iTunes for Windows」に脆弱性 - アップデートで修正
法人カード利用企業の情報をメールで誤送信 - UPSIDER
国内で「Mirai」とは異なるボットネットの動きが加速
軽量プロクシ「Tinyproxy」に脆弱性 - 報告者と開発者に溝
グリコ、冷蔵食品の出荷再開を延期 - 約150億円の売上減を予想
東急のネットワークにサイバー攻撃 - グループ会社から情報流出
ブラウザ「Chrome」にゼロデイ脆弱性 - 緊急アップデートが公開
「PuTTY」脆弱性、「Citrix Hypervisor」にも影響
米政府、脆弱性「Citrix Bleed」についてガイダンスを公開