正規表現(regex)の脆弱性、特に「regex DoS」(reDoS)についての議論は技術的な好奇心をそそりますが、重要なセキュリティ上の問題ではありません。
これは主に、対策が比較的容易だからです。たとえば、PCRE2という正規表現エンジンの設定を調整することで、性能を下げるパターンや、メモリ消費、試行回数といった問題を少なくすることができます。しかしそれには、PCRE2を設定できる環境が必要です。
また、npmの例では、re2という別の正規表現エンジンへの移行が推奨されています。これはほとんどのケースで最も簡単かつ安全なルートですが、自分の使用している正規表現やサポートが必要な正規表現の種類に依存します。
ユーザーが提供するデータに対して正規表現を実行する場合は、データサイズを制限する一般的な対策が役立ちます。たとえば、サーバーが許容する場合、巨大なパスワード(数メガバイトやギガバイト単位)を投稿し、アプリケーションが通常のパスワード比較チェックの一環としてそれをハッシュ処理しながら、CPUリソースを大量に消費するDoS攻撃のシナリオなどです。
出典 : Regex DoS, LLM Backdoors, Secure AI Architectures, Rust Survey – ASW #319 https://www.scworld.com/podcast-segment/13491-regex-dos-llm-backdoors-secure-ai-architectures-rust-survey-asw-319
