過信は禁物 生成AIが書いたソースコードの約3割に脆弱性が見つかるセキュリティニュースアラート

調査からアプリケーションのソースコードの約7割に脆弱性が含まれていることが明らかになった。また、生成AIが書いたソースコードにも脆弱性が含まれているケースがあるようだ。

» 2024年02月26日 07時00分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 コンピュータ情報サイトの「Help Net Security」は2024年2月20日(現地時間)、セキュリティ企業のVeracodeのレポートを引き合いに出し、アプリケーションの63%がファーストパーティーコードに欠陥を持ち、70%がサードパーティーライブラリーを通じてインポートされたコードに脆弱(ぜいじゃく)性を持つと発表した。

生成AIが書いたソースコードの過信は禁物 約3割で脆弱性が見つかる

 レポートによると、アプリケーションの脆弱性は組織におけるサイバー攻撃のリスク要因となる。1年以上修正されていないアプリケーションの脆弱性、すなわち「セキュリティ負債」を抱えている組織は46%ほどになるという。

 この状況を改善するためにはソフトウェア開発ライフサイクル全体を通じてこれらの脆弱性のテストを実施することが重要で、利用しているサードパーティーライブラリーの脆弱性について継続的に修正を続けることが求められる。

 ソフトウェア開発者は開発作業を効率化するために、生成AI(人工知能)を利用するようになっている。最近は開発環境における生成AI機能の統合が進められており、開発者は効率的に生成AIからのアドバイスや、生成AIの提示するソースコードを活用できるようになっている。

 しかし生成AIが作成するソースコードには脆弱性が含まれているケースもあり注意が必要だ。セキュリティ研究者らが公開した「Security Weaknesses of Copilot Generated Code in GitHub」によると、「GitHub.com」でホストされている「Microsoft Copilot」が生成したソースコードに対して脆弱性解析を実施し、調査した425個のコードスニペット(6つのプログラミング言語)の35.8%に脆弱性が含まれていたという。

Copyright © ITmedia, Inc. All Rights Reserved.