LLMがセキュリティ脆弱性報告を混乱
大規模言語モデル(LLM)の利用拡大により、セキュリティ脆弱性の報告が急増。
従来の協調公開の慣習が崩れ、複数の研究者による同時発見や、LLMによるパッチ作成の信頼性への懸念が高まっている。
Copy Failの事例では、脆弱性情報が公に漏え、対応が追いつかない状況も発生。
今後は脆弱性情報の即時公開や、コミュニティによる協調的な対応が重要になる可能性がある。
OpenStackの脆弱性管理チームのジェレミー・スタンレー氏によると、ChatGPTのような大規模言語モデル(LLM)の普及により、ソフトウェアのセキュリティ脆弱性に関する報告が急増し、従来の「coordinated disclosure(調整公開)」の仕組みを揺るがす事態となっています。LLMを活用した脆弱性発見ツールは、研究者だけでなく攻撃者にも利用される可能性があるため、セキュリティコミュニティ全体で対応策を模索する必要があるとのことです。
LLMがもたらす脆弱性報告の急増
近年、ChatGPTをはじめとするLLMの性能向上に伴い、ソフトウェアのセキュリティ脆弱性を発見する研究者が増加傾向にあります。これらの研究者は、LLMを活用してコードを分析し、潜在的な脆弱性を効率的に特定しています。その結果、OpenStackをはじめとする多くのプロジェクトで、脆弱性に関する報告が前例のないほど増加しており、脆弱性管理チームは対応に追われています。スタンレー氏は、LLMを利用した脆弱性発見が「セキュリティゴールドの採掘」に例えられるほど活発になっていると指摘しています。
調整公開のあり方とLLM
従来の「coordinated disclosure」とは、脆弱性を発見した研究者が、ベンダーに秘密裏に報告し、修正パッチの開発と公開を調整するプロセスです。しかし、LLMの登場により、このプロセスが困難になっています。LLMが脆弱性を発見した場合、他の研究者や攻撃者も同様に発見する可能性が高まり、脆弱性が公になる前に複数の人が同じ脆弱性を把握してしまう「parallel discovery(並行発見)」が頻繁に発生しているとのことです。そのため、脆弱性報告の公開を急ぐべきか、従来の調整公開の仕組みを維持すべきか、議論が活発化しています。
LLMによるパッチ作成の危険性
LLMを活用して脆弱性に対するパッチを自動生成する試みも存在しますが、セキュリティ専門家からは注意喚起の声も上がっています。Debianのopenssl問題(2006年)を例に、一見問題ないように見えるパッチが、実際には深刻なセキュリティリスクを隠している可能性があるからです。LLMが生成するコードの正確性や安全性は、現状では「コイン投げ」と同程度の確率でしか保証できないとされており、LLMによる自動パッチ作成は慎重に行う必要があるとのことです。
まとめ
LLMの普及は、ソフトウェアのセキュリティ対策に新たな課題を突きつけています。脆弱性報告の増加、調整公開のあり方、そしてLLMによる自動パッチ作成の危険性など、セキュリティコミュニティ全体でこれらの問題に対処していく必要があります。今後は、LLMを活用した脆弱性発見ツールと、それに対応するための新しいセキュリティ対策が模索されると考えられます。
原文の冒頭を表示(英語・3段落のみ)
[LWN subscriber-only content]
Predictions that LLM tools would cause a surge in reports of security vulnerabilities
have, unquestionably, borne out. As expected, maintainers are having to wade
※ 著作権に配慮し、引用は冒頭3段落までです。続きは元記事をご覧ください。