AI コーディングツールの普及により、攻撃側も防御側も LLM を活用するようになり、ソフトウェアの脆弱性発見と悪用の自動化が急速に進んでいる。この「バグポカリス」に対し、単なるパッチ適用ではなく、Rust や Go などのメモリ安全な言語への移行や、オープンソース基盤の根本的な強化といった「設計段階からのセキュリティ(Secure by Design)」が重要である。また、米政府への提言として、アメリカ発のオープンウェイトモデルの育成と、AI が導入する文脈依存性の脆弱性に対する対策を求めている。
「AI がバグを作る」だけでなく「AI がバグを見つける」という双方向の脅威に対し、技術的解決策(メモリ安全言語)と政策的提言をセットで語っており、開発者やセキュリティ担当者にとって非常に示唆に富む内容です。
- 01
AI による攻撃・防御の二極化
LLM の進化により、脆弱性の発見から悪用までの攻撃チェーンが自動化され、同時に開発プロセスも AI エージェント中心へ移行している。
- 02
メモリ安全な言語への移行
バグの多くは既知のクラスに属しており、Rust や Go などのメモリ安全な言語を採用することで根本的な脆弱性を大幅に削減できる。
- 03
オープンソース基盤の強化
攻撃者の実験場となっているオープンソースライブラリを保護し、政府と企業が協力して基盤のセキュリティを高める必要がある。
- 04
アメリカ発オープンウェイトモデル
クローズドモデルだけでなく、微調整可能なオープンウェイトモデルの育成が競争力維持に不可欠であり、米政府への提言として挙げられている。
AI エージェントがソフトウェア開発のデファクトスタンダードとなる中、従来のパッチ対応中心のセキュリティ対策では追いつかなくなるリスクが高い。企業は Rust や Go への移行や、オープンソース依存関係の再構築といった構造的なセキュリティ投資を急務としなければ、大規模なインフラ障害やデータ漏洩が頻発する可能性がある。