「生成AI」の出力コードに過信は禁物 - 安全性の確認を

同氏は、脆弱性への対策には専門的な知識を有した人材が対応にあたる必要があると強調した。

「生成AIにより、プログラマーが必要なくなる」「アプリケーションフレームワークの進化により要素技術を知らなくてもアプリを作れる」といった声も聞かれるが、いずれも「レースコンディション」や「トランザクション管理」など基礎的な対策であっても自動で面倒を見てくれるわけではないと指摘。

実際に同氏が脆弱性を作り込みやすいプログラムのコーディングを「生成AI」にリクエストしたところ、出力されたコードには予想どおり脆弱性が含まれていた。

世の中には安全ではないコードも多く出回っており、「生成AI」が学習したコードもセキュアなものとは限らないと述べ、そうした情報をもとに生成された出力コードを過信すれば、思わぬ事故につながるおそれもあると警鐘を鳴らした。

同氏は「セキュアコーディングにおいて開発者の専門性は依然として大事。高度なスキルを持ったIT人材が不足している」と述べ、今しばらくは同様の状況が続くと見ている。

（Security NEXT - 2023/12/18 ） ツイート

PR

関連記事

子会社の「LNG受発注システム」で侵害痕跡を確認 - 北海道ガス
損害調査法人がランサム被害 - ファイル転送ツールの痕跡も
F5が四半期アドバイザリ、「BIG-IP」関連に多数脆弱性
LLMアプリ開発基盤「Dify」に複数のクリティカル脆弱性
27店舗で印鑑届の紛失が判明、誤廃棄の可能性 - 豊川信金
海外子会社にサイバー攻撃、個人情報流出の可能性 - 象印
「Apache Flink」にコードインジェクションの脆弱性 - 重要度「クリティカル」
「MongoDB」に深刻な脆弱性 - 早急な対応を強く推奨
WPS Office旧脆弱性、2020年以降の製品などにも影響
Ivanti、5月の月例アップデートを公開 - 「クリティカル」脆弱性も