イスラエル、テルアビブ – Backslash Securityは、AI生成コードに内在するセキュリティー脆弱性に関するリサーチチームによる調査結果を発表した。GPT-4を使用したこの演習は、特にオープンソースソフトウェア(OSS)の統合に関して、開発でこのようなコードを使用することで生じるリスクを明らかにすることを目的としている。調査結果では、古いOSSパッケージの推奨事項の可能性と、開発者が誤ってプロジェクトに含める可能性のある「ファントム」パッケージの出現が強調されている。

この調査では、かなりの数の組織がAIコードアシスタントを採用していることが示されている。AIコードアシスタントは開発を加速させる一方で、多くのセキュリティー上の課題ももたらす。Backslash Securityのプラットフォームは、到達可能性分析や、マニフェストファイルで宣言されていないがコードベースに影響を与える可能性のあるファントム パッケージを検出する機能などの高度な機能でこれらの問題に対処する。

Backslashリサーチチームのシミュレーションでは、多くの言語モデルが最新の更新やパッチを反映していない静的データセットでトレーニングされているため、AI生成コードが脆弱なOSSパッケージを示唆する可能性があることが明らかになった。これにより、新しいアプリケーションに、古い、侵害されたバージョンのソフトウェアが組み込まれる可能性がある。さらに、AIが生成したコードの推奨事項に一貫性がないと、開発者に誤ったセキュリティー意識が生じ、日常的なコード展開でセキュリティーリスクが広がる可能性がある。

Backslash Securityは、急速に進化するコード作成方法に直面して、堅牢なセキュリティー対策の必要性を強調している。同社のプラットフォームは、OSSの脆弱性の到達可能性と悪用可能性を評価することで、アプリケーションセキュリティー チームと製品セキュリティーチームが真の脅威を特定し、優先順位を付けるのに役立つように設計されている。Backslash SecurityのCEOであるShahar Manは、AIが生成したコードによってもたらされる新しい課題に対して、オープンソース コードを保護することの重要性を主張している。関心のある方は、Backslash Securityのデモを通じて、プラットフォームの機能を直接体験してください。

出典:プレスリリース