「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける　AIは脆弱性調査の課題をどう解決したのか？：テストケース、クラッシュレポートを自動生成

Googleの脆弱性調査専門チームは、Google DeepMindと共に研究開発を進めているAIエージェント「Big Sleep」がSQLiteにおけるスタックバッファーアンダーフローの脆弱性を見つけた事例を公式ブログで解説した。

» 2024年11月28日 08時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　Googleの脆弱（ぜいじゃく）性調査専門チーム「Project Zero」は2024年11月1日（米国時間）、Google DeepMindと共に研究開発を進めているAIエージェント「Big Sleep」が、オープンソースのデータベースエンジン「SQLite」におけるスタックバッファーアンダーフローのゼロデイ脆弱性を発見したと公式ブログで明らかにした。

　Project Zeroチームによると、Big SleepはSQLiteの開発ブランチ上のソースコードにおけるゼロデイ脆弱性を2024年10月初旬に発見した。Project ZeroチームはSQLiteの開発者に問題を報告し、脆弱性は修正された。公式リリース前にこのゼロデイ脆弱性が修正されたため、SQLiteのユーザーに影響はないとしている。

　Project Zeroチームは「ソフトウェアがリリースされる前に脆弱性を発見できれば、攻撃者が対抗する余地はなく、防御面で可能性を大きく広げることになる。広範に利用されているソフトウェアにおける悪用可能なメモリ安全性の問題をAIエージェントが発見した初の公開事例だろう」と述べている。

ファジングでは限界がある？　脆弱性調査の課題

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
ランサムウェア感染をはじめとするサイバー攻撃に日頃からどう備えておくべきなのか。年間数百件の相談に対応してきたYONAの三国貴正氏や、セキュリティブログ「piyolog」で知られるpiyokango氏が、現実的で実効性のあるインシデント対応をどう進めるべきか、語り合った。
複数フェーズで成り立つ「Active Directoryの脆弱性対策」とは――その意図は？　詳細は？
脆弱性に対しセキュリティ強化を一気に進めると「認証拒否」が発生し、結果、情報システムの利用不可といった障害につながる場合があります。そのため、セキュリティ強化を複数のフェーズに分けて、段階的に進めることが重要になります。本稿では、複数のフェーズを持つActive Directoryの脆弱性対策を紹介します。
AIエージェント（AI Agent）とは？
用語「AIエージェント」について解説。特定の目標を達成するために、必要なタスクを自律的に作成し、計画的に各タスクを実行するAIシステムのこと。これにより、人間の作業を大幅に自動化できる可能性がある。また、複数のAIエージェントを組み合わせることで、より高度な自動化が期待されるAIマルチエージェントも登場している。