Shutterstock.com

Chromeブラウザの脆弱性が見つかったり、Gmailユーザーが攻撃を受けたりするたびに、グーグルのセキュリティ対策の不備を批判するのは簡単だ。しかし、実際のところグーグルはセキュリティ研究の最前線に立っており、これらの脆弱性の多くはグーグルの高度に専門化されたチームによって発見されている。 たとえば、グーグルの「Threat Analysis Group（脅威分析グループ）」は、グーグル製品におけるゼロデイ脅威（ソフトウェアの未知の脆弱性を悪用した攻撃）を明らかにすることで知られており、「政府支援のハッキングやグーグルおよびそのユーザーに対する攻撃に対抗する」任務を持っている。また、「Jigsaw（ジグソー）ユニット」は「開かれた社会に対する脅威を探求する」役割を果たしている。 今回、新たにAIを防御に活用する能力を持つ別のセキュリティ専門家集団が加わった。それがグーグルの「OSS-Fuzzチーム」だ。彼らは、インターネットの多くのインフラを支える重要なOpenSSLライブラリ（インターネット通信の暗号化に広く使われるオープンソースの暗号化ライブラリ）を含む、26件の新たな脆弱性をオープンソースプロジェクトの管理者に報告した。 ■AIで長年隠されていたセキュリティ上の脆弱性を発見 グーグルの大規模言語モデル（LLM）を用いたAI脆弱性検出エージェント「Big Sleep（ビッグスリープ）」が、広く使用されているゼロデイで悪用可能なメモリ安全性に関する未知の脆弱性を発見したことに続き、AIが主導するもう1つの重大なセキュリティ上の発見があった。 グーグルのオープンソースセキュリティチーム、オリバー・チャン、ドンゲ・リウ、ジョナサン・メッツマンによれば、今回発見された26件の新たな脆弱性はすべてAIによって発見されたもので、「自動化された脆弱性の発見におけるマイルストーンです」と述べている。特に重要なのは、インターネットインフラの多くを支えるOpenSSLライブラリにおけるCVE-2024-9143の脆弱性だ。研究者たちは「この脆弱性はおそらく20年間存在しており、人間が作成した既存のファズターゲットでは発見できなかったでしょう」と述べている。