AI slop and fake reports are exhausting some security bug bounties | TechCrunch
最近のサイバーセキュリティ業界では、AIによって生成された低品質なバグ報告、いわゆる「AIスロップ」が問題視されています。
これらの報告は、実際には存在しない脆弱性を主張するもので、主に大規模言語モデル(LLM)によって作成されます。
これにより、セキュリティバグバウンティプログラムが圧迫され、専門家たちが本物の脆弱性を見つけるのが難しくなっています。
AIスロップの影響
AIスロップは、見た目には技術的に正しいように見える報告を生成しますが、実際には「幻覚」と呼ばれる虚偽の情報が含まれています。
RunSybilの共同創設者であるVlad Ionescu氏は、「報告は合理的に聞こえ、技術的に正しいように見えるが、実際には脆弱性が存在しないことが多い」と述べています。
これにより、セキュリティプラットフォームは無駄な情報で溢れ、効率が低下しています。
実際の事例
最近の例として、オープンソースのセキュリティプロジェクトCurlが偽の報告を受け取ったことが挙げられます。セキュリティ研究者のHarry Sintonen氏は、CurlがAIスロップを「数マイル先から嗅ぎ取る」ことができると述べています。
また、他の開発者も同様の問題を抱えており、CycloneDXプロジェクトの開発者は、ほぼすべての報告がAIスロップであったため、バグバウンティプログラムを完全に撤回しました。
バグバウンティプラットフォームの反応
HackerOneやBugcrowdなどの主要なバグバウンティプラットフォームも、AI生成の報告の増加を認識しています。HackerOneのMichiel Prins氏は、虚偽の脆弱性が報告されることで、セキュリティプログラムの効率が損なわれると警告しています。
Bugcrowdの創設者であるケイシー・エリスは、AIを利用してバグを見つける研究者が増えているものの、低品質な報告の急増には至っていないと述べています。
解決策と今後の展望
この問題に対処するため、AIを活用したシステムへの投資が重要とされています。HackerOneは、AIセキュリティエージェントを活用した新しいトリアージシステム「Hai Triage」を発表しました。
このシステムは、報告の精度を確認し、重複をフラグ付けし、実際の脅威を優先することを目的としています。
AIがサイバーセキュリティの分野に与える影響は今後も続くと予想されますが、AIスロップの問題を解決するためには、より効果的なフィルタリングと評価の手法が求められています。
AIを利用したツールが進化する中で、どのようにして信頼性の高い情報を見極めるかが、今後の大きな課題となるでしょう。
