AIテストエージェント「Spark」登場 ホワイトボックスファジングを自動化：セキュリティニュースアラート

Code Intelligenceは、AIによる新テストエージェント「Spark」を公開した。このツールはホワイトボックスファジングを自動化し、脆弱性の発見を効率的すると期待されている。

[後藤大地，有限会社オングス]

　Code Intelligenceは2025年1月29日（現地時間）、AIを活用した新たなテストエージェント「Spark」の一般提供を開始した。これまで導入のハードルが高かったホワイトボックスファジングを自動化し、脆弱（ぜいじゃく）性の発見を容易化するツールだとされている。

　ホワイトボックスファジングは対象のソフトウェアの内部構造やソースコードを解析し、その情報を基にテストケースを生成するファジング手法だ。従来のブラックボックスファジングと異なり、コードカバレッジや制御フローの情報を活用することで、より効果的に脆弱性を発見できる。ホワイトボックスファジングはGoogleやMicrosoftといった大手企業でも採用されており、深刻なバグや脆弱性を高精度に発見できる。

従来のホワイトボックスファジングの課題を解消　「Spark」の実力とは？

　ホワイトボックスファジングの導入にはこれまで多くの手作業と時間が必要とされ、実装やメンテナンスの負担が大きいことが課題とされていた。しかし大規模言語モデル（LLM）のコード生成能力や推論能力が急速に向上する中、プロセスの多くが自動化され、ファジングテストの障壁が下がり、より多くの企業が活用できる環境が整いつつある。

　Sparkは未知のコードに対して自律的にバグや脆弱性を検出できるAIテストエージェントだ。実際にオープンソースソフトウェアの脆弱性を自動的に発見し、テストを実行することでその実用性が証明されている。Sparkを利用すれば、テストの目標（コードカバレッジの達成率）を設定し、Sparkを起動してコード内の問題や脆弱性を確認するだけでホワイトボックスファジングを実行できる。

　Sparkのβテストでは8つのオープンソースプロジェクトに対して1時間のファジングが実行された。これらのプロジェクトはGoogleのOSS-Fuzzにより継続的にテストされているが、Sparkを使った1時間の自律的ファジングによってコードカバレッジが最大44.7％向上し、3件の問題が新たに特定された。さらに2つのプロジェクトでは、70％以上のコードカバレッジを記録している。

　特筆すべき成果として組み込みデバイスやIoTシステムの開発で広く使用されているオープンソースの暗号化ライブラリーであるWolfSSLに脆弱性を発見したことが挙げられる。ヒープ領域におけるUse-After-Free脆弱性を自動的に発見し、修正に貢献している。この脆弱性の発見に必要な人間の介入は、Sparkのコマンドを実行することのみであり、コード解析からテストケースの生成、実行までが完全に自動化されている。

　Sparkがホワイトボックスファジングの普及を促進させ、より多くの開発者がセキュアなソフトウェアを構築できる環境を提供すると期待されている。