C／C++の脆弱性をLLMで検出 Googleが新研究開発プロジェクト「Naptime」を発表：セキュリティニュースアラート

GoogleはLLMを使った新しい研究開発プロジェクト「Naptime」を発表した。NaptimeはC／C++の高度なメモリ破壊やバッファーオーバーフローの脆弱性を発見するのに特化するものだという。

[後藤大地，有限会社オングス]

　Googleは2024年6月20日（現地時間）、脆弱（ぜいじゃく）性の検出に大規模言語モデル（LLM）を活用する新しい研究開発プロジェクト「Naptime（お昼寝タイム）」を発表した。

C／C++の脆弱性検出はLLMに任せて“お昼寝しよう”

　NaptimeはAIエージェントとターゲットコードベース間のインタラクションを中心に構築されたアーキテクチャだ。特にC／C++の高度なメモリ破壊およびバッファーオーバーフローの脆弱性を発見することに焦点を当てている。この2つの対象は従来の方法論では発見することが難しく、GoogleはLLMを利用することで検出効率を最大20倍まで改善できると説明している。

　なお、プロジェクト名の由来は開発した成果物がセキュリティ担当者やIT担当者を支援し、定期的に昼寝ができるくらいにはなりたいという願掛けになっているという。

　Naptimeのアーキテクチャはセキュリティ専門家による反復的な仮説主導のアプローチを厳密に模倣した脆弱性調査を実行できるという特徴がある他、ユーザーの脆弱性識別や分析能力の強化、支援、再現可能性なども保証する。

　Googleの実験ではNaptimeのアプローチで高度なメモリ破壊の検出率は0.24から0.76に、バッファーオーバーフローは0.05から1.0に向上したとし、一定の成果を挙げている。

　Googleによると、これまでNaptimeで取り扱ってきた調査対象は既に脆弱性の存在が明らかになっている。実際に脆弱性が存在しているかどうか分からない対象に対して自律的に脆弱性調査を実施する場合はまだ課題があるという。

　Naptimeは未発見の脆弱性を検出するという実際の利用に関してはまだ研究開発が必要な段階だが、既存の手法では発見しにくい脆弱性の検出率を向上させられる可能性があるため注目されており、今後のさらなる進化が期待されている。