Scribble at 2026-05-09 08:56:41 Last modified: unmodified

添付画像

AI is Breaking Two Vulnerability Cultures

脆弱性の発見や修正、そして管理においても、急速に生成 AI が普及しているので、従来の二つの運用ポリシーが無効になりつつあるという。一つは、開発主体へ脆弱性を発見した人物がクローズドに報告して一定の対応期間を猶予として与えてから正式に公開・告知するというポリシーだ。そしてもう一つは、バグ修正と脆弱性の修正とを区別せずに、脆弱性を見つけた人物は開発主体の運用するバグ・トラッカーに通常の issue と同じようにバグとして報告したり、あるいは開発主体の側にいるなら黙々と修正するというポリシーである。要するに、どちらにしても一定のあいだはセキュリティの問題があるということを声高に表明したりせずに、粛々と対応していくということなのだが、これは人が同じ脆弱性を発見するには手間がかかったり、膨大な issue の中からバグの修正とセキュリティ対応とをわざわざ区別することだけを目的に検索するような人はいないという経験的な事実に依存してきただけの慣行だった。ところが、生成 AI を利用すると bug issue の中からセキュリティ上の問題があって修正した項目だけを解析して即座に洗い出せるようになったり、或るコードが公開されてから脆弱性を見つけるまでの所要時間が著しく短くなってきているので、猶予期間であろうと issue の中から脆弱性への対応を見つけるのに必要な時間であろうと、そんな余裕が一定のあいだだけあると想定して、誰か他の人が脆弱性を見つけて悪用されないうちに対処するなんてわけにはいかなくなってきているのだ。

先日も、Anthropic のリリースしたセキュリティ対応の AI が Mozilla Firefox のバグを短期間に数百も発見したことが話題となっていて、既にこの手の文字通り「機械的な」処理においてヒトは生成 AI の足元にも及ばなくなってきている。もちろん、「機械的に」やるべきことを命じるのがプログラムなのであるから、それを生成 AI にコーディングさせたり検査させて何がいけないのかというのは道理だし、僕はそういう目的に生成 AI を使うことは大賛成だ。コーダなんていう仕事は、もちろん弊社でも既に外注になんて出してなくて、デザイナーやディレクターが自分でデザインのデータから HTML ファイルなどに変換しているわけで、所要時間(クラウド・ワーカーなどとの打ち合わせや契約にかかる時間も含めて)も劇的に短縮されているし、もちろん当人の工数以外にかかるコストは ChatGPT や Claude のサブスク料金の数千円だけだから外注費も劇的に抑えられるので、2年くらい前まではウェブ・コンテンツの制作部門を維持するべきかどうかすら話題になっていたほどなのだが、いまでは営業利益を確保できる事業に戻りつつある(もっとも、上流工程を担えない限り「ホームページ屋さん」レベルの制作会社がお先真っ暗なのは変わらないが)。

僕自身の管掌においても、機械的にできることは生成 AI をどんどん使っているし、もちろんそんなことだけで僕の役割が「生成 AI サービスのオペレータ」に縮小するわけではない。情報サービスや情報システムや情報資産を管理する部門として、会社の経営方針や事業の目標に沿って何をすべきかを「考えようとする」という意欲や動機は、生成 AI には存在しないからだ。つまり、ウェブ・コンテンツの制作を含むプロモーションやキャンペーンなどの上流工程においても、生成 AI には目的意識というものがないので、そこから生み出される企画というものは生成 AI が勝手に何か提案したり思いついてやってくれるわけではないのだ。したがって、よく生成 AI を一種の従業員や部下として擬人化する人がいるのだが、僕に言わせれば東大生並みの計算や翻訳はするかもしれないが、企業人としては無能である。自発的に何かを思いついたり行動してこそ優秀な企業人でありサラリーマンというものであろう。

なので、上の話題についても、設定されたプロジェクトの issue tracker システムにアクセスして脆弱性の修正なのかバグ修正なのかを区別するというタスクは正確かつ即座にこなすのかもしれないが、そもそも何のためにそういうことをする必要があるのかという目的意識が生成 AI にはないので、暇な時間に別のプロジェクトを検査してみるだとか、あるいは見つけた脆弱性を修正する方法を色々と考えてみるなんてことはやってくれないわけである。いや、それを AI エージェントに設定したからといって、その場で AI エージェントが取りうる選択肢のどれを選択して実行するかは、やはり僕ら自身が目的意識をもって命じたり設定する他にないのである。そして、それはいちど設定すれば後は自動で勝手に何でも「いい感じ(語尾上げ)」にやってくれるわけではないのだ。

  1.  
  2. >> もっと古いノート

冒頭に戻る