シアトルのProtect AIの研究者は、AnthropicのClaude AIモデルを活用してPythonのコードベースでゼロデイ脆弱性を見つけるオープンソースの無料ツール「Vulnhuntr」をリリースする計画です。
このツールは、ただコードに問題がないかを分析するだけでなく、リモートからのユーザー入力を扱う可能性があるファイルを自動的に識別し、潜在的な脆弱性を分析します。
さらにClaudeは脆弱性ごとに最適化されたプロンプトを用いて、サーバーの出力までの完全な呼び出しチェーンを理解する循環的な処理を行います。
このアプローチにより、単純な関数の問題を指摘するのではなく、複雑な多段階の脆弱性を明らかにすることができると主張されています。
既に多数のゼロデイ脆弱性が大規模なオープンソースのPythonプロジェクトで見つかっており、そのうちのいくつかは修正されています。
しかし、このツールには限界もあり、Pythonコード専用であり、他言語が組み込まれたプロジェクトのスキャンでは誤検出の可能性が高まります。
Vulnhuntrの研究結果が初めてのAIアシストによる公共プロジェクトでのゼロデイ脆弱性同定を示しており、将来のAIの可能性を広げています。
このツールはGitHubで公開され、オープンソースプロジェクトの脆弱性検出に貢献する使い手を広く求めています。
出典 : Researchers unveil LLM tool to find Python zero-days https://www.theregister.com/2024/10/20/python_zero_day_tool/