GoogleのAIバグハンター「Big Sleep」が20件の脆弱性を発見

グーグルが開発したAIベースのバグハンター「Big Sleep」が、初めて20件のセキュリティ脆弱性を発見し報告した。同社のセキュリティ担当バイスプレジデント、ヒーター・アドキンズ氏が月曜日に発表した。Big Sleepは、グーグルのAI研究部門・ディープマインドと、世界的なセキュリティ専門チーム「プロジェクトゼロ」が共同で開発したAIエージェントで、音声・動画処理ライブラリ「FFmpeg」や画像編集ソフト「ImageMagick」など、複数のオープンソースソフトウェアに脆弱性を発見した。 現時点で脆弱性の詳細や深刻度は公表されていない。これは、修正が完了するまで情報の公開を控えるグーグルの標準的なポリシーによる。しかし、AIが自ら発見・再現し、人間の検証を経て報告された点が重要だ。グーグル広報のキムバ・サマラ氏は、「報告の品質と実行可能性を確保するため、人間の専門家が確認に加わるが、発見と再現はAIが完全に自律的に実施した」と説明した。 同社のエンジニアリング担当バイスプレジデント、ロイヤル・ハーンズ氏はX（旧Twitter）で、「自動脆弱性発見の新たな地平を示した」と評価。Big Sleep以外にも、RunSybilやXBOWといったAIベースのバグハンターが登場しており、XBOWはハッカーハンズのバグバウンティプラットフォーム「HackerOne」の米国ランキングでトップにランクインした。 ただし、こうしたAIツールには課題も存在する。一部のソフトウェアメンテナスは、AIが誤って「幻覚」を生成し、実際には存在しない脆弱性を報告するケースが相次いでいると指摘。RunSybilの共同創業者兼CTO、ヴラド・イオネスク氏は、「見た目は金のように見えるが、実際はゴミである」と形容し、AIによる報告の信頼性の低さが懸念されている。 Big Sleepの成果は、AIがセキュリティ分野で実用的な役割を果たしつつある証左であり、人間とAIの協働が今後のセキュリティ強化の鍵となる可能性を示している。