「生成AI」の出力コードに過信は禁物 - 安全性の確認を

同氏は、脆弱性への対策には専門的な知識を有した人材が対応にあたる必要があると強調した。

「生成AIにより、プログラマーが必要なくなる」「アプリケーションフレームワークの進化により要素技術を知らなくてもアプリを作れる」といった声も聞かれるが、いずれも「レースコンディション」や「トランザクション管理」など基礎的な対策であっても自動で面倒を見てくれるわけではないと指摘。

実際に同氏が脆弱性を作り込みやすいプログラムのコーディングを「生成AI」にリクエストしたところ、出力されたコードには予想どおり脆弱性が含まれていた。

世の中には安全ではないコードも多く出回っており、「生成AI」が学習したコードもセキュアなものとは限らないと述べ、そうした情報をもとに生成された出力コードを過信すれば、思わぬ事故につながるおそれもあると警鐘を鳴らした。

同氏は「セキュアコーディングにおいて開発者の専門性は依然として大事。高度なスキルを持ったIT人材が不足している」と述べ、今しばらくは同様の状況が続くと見ている。

（Security NEXT - 2023/12/18 ） ツイート

PR

関連記事

研究科サーバにサイバー攻撃、他機関のサーバ経由で - 神戸大
書籍購入者向けシステムでメアドなどが閲覧可能に - 金原出版
障害復旧作業用HDDが所在不明、内部の生徒情報 - 浦添市
元職員が個人情報を持出、サークル勧誘に利用 - 横須賀市の病院
サーバデータが暗号化被害、内部に個人情報 - タカカツグループHD
「OpenTelemetry Java Instrumentation」に脆弱性 - 派生ソフトも注意を
「Apache Spark」のログ処理に脆弱性 - アップデートで修正
「Spring AI」にRCEやSSRFなど4件の脆弱性 - クリティカルも
セキュリティスキャナ「Trivy」に不正コード混入 - 侵害有無の調査を
体験型サービスの会員向けメールで誤送信 - キリンビール