脆弱性対策に“救世主到来”？ GoogleのAIツール「Big Sleep」がSQLiteのバグを特定：セキュリティニュースアラート

GoogleはAIベースの脆弱性発見ツール「Big Sleep」が、従来のファジング手法では発見が困難だったSQLiteのスタックバッファーの脆弱性を特定し、即日修正を完了させたと発表した。

[後藤大地，有限会社オングス]

　Googleは2024年11月1日（現地時間）、AIによるセキュリティ対策の成果として新たな脆弱（ぜいじゃく）性発見ツール「Big Sleep」プロジェクトの成果を発表した。従来の手法では見つけにくい脆弱性をBig Sleepによって発見できたと報告した。

Big Sleepは脆弱性対策の“救世主”になり得るのか？

　Big SleepはGoogle Project ZeroとGoogle DeepMindの共同プロジェクトで開発された大規模言語モデル（LLM）ベースの脆弱性発見ツールだ。コードの脆弱性を発見および修正することを目的にしている。Googleの発表によると、Big Sleepによって「SQLite」の脆弱性を発見できたという。この脆弱性はSQLiteのスタックバッファーに関するものとされ、悪用されるとメモリの安全性が損なわれる可能性がある。

　Googleはこの脆弱性を2024年10月初旬にSQLiteの開発者に報告しており、即日修正が完了したため最終的にユーザーへの影響は回避されたと発表している。また、同社によると、今回の事例はBig Sleepによって脆弱性が発見された初の実例であり、一般的なセキュリティテストでは検知されない複雑なバグをAIエージェントが見つけ出したという。

　AIによる脆弱性の発見の利点は攻撃者に悪用される前に予防的な修正ができる点にある。ファジングのような従来のテスト手法も一定の効果はあるが、より複雑で検知困難なバグに対応するにはAIの活用が必要とされている。

　一方、Big Sleepの成果は実験段階にあるとしており、全ての脆弱性においてAIが最適解を提供するわけではないことも認めている。特定の脆弱性には従来のファジングツールが適している場合もあり、LLMを用いた新手法と既存の手法を併用することが重要とされている。

　Googleはこの取り組みが将来的には高品質の根本原因分析を提供できる可能性があるとし、問題のトリアージおよび修正がより安価で効果的に実施できる可能性があるとしている。取り組みを継続して研究を共有し、ゼロデイ攻撃に対応する方針を示している。