大規模言語モデルを活用して、より多くの脆弱性を自動的に発見することを目指す

このOpenSSLのCVEは、LLMが発見した重要なソフトウェアの脆弱性の1つだ。これはメモリの範囲外アクセスの問題で、アプリケーションのクラッシュを引き起こす可能性があり、米国のNational Vulnerability Database（国家脆弱性データベース）によれば、リモートコード実行のリスクもある。「この脆弱性を（米国時間）9月16日に報告し、修正は（同）10月16日に公開されました」とグーグルの研究者たちは述べている。 ■自動的に脆弱性を発見し、悪用される前に対応するAI AIを活用したファジング（ソフトウェアに無効またはランダムなデータを入力し、予期しない動作や脆弱性を発見するテスト手法）は、2023年8月16日にグーグルのOSS-Fuzzチームによって初めて発表された。このプロジェクトは、大規模言語モデルを活用してファジングのカバー範囲を向上させ、より多くの脆弱性を自動的に発見することを目指したものだ。特に重要なのは、自動的に脆弱性を発見し、悪意のある攻撃者によって悪用される前に対応することだ。 チームは「私たちのアプローチは、LLMのコーディング能力を用いてより多くのファズターゲット（テスト対象）を生成することであり、これらは脆弱性を探すために関連機能を実行するユニットテストに似ている」と述べている。 最終的な目標は、現在は手動で時間がかかるファズターゲットの開発プロセスを完全に自動化することだ。簡単に言えば、ファジングはシステムに無効またはランダムなデータを自動的に注入し、セキュリティ脆弱性を発見するソフトウェアテスト技術だ。決められたターゲットを使ったファジング自体は自動化されているが、ターゲットの開発はまだ自動化されていない。そこで、生成AIを用いたファズターゲットプロジェクトが登場する。 「私たちは、OSS-Fuzzが他の研究者がAI駆動の脆弱性発見のアイデアを評価するのに役立つことを望んでおり、最終的には脆弱性が悪用される前に防御者がより多くの脆弱性を発見することを可能にするツールになることを期待しています」とグーグルの研究者たちは述べている。