世界で最も人気のある大型言語モデル(LLM)が、標準設定でセキュリティ面で不安定なコードを生成しているという新たな分析結果がBackslash Securityにより公表されました。この発見により、ソフトウェア開発者がLLMを使い、単純かつ「素朴な」要求でコードを作成する際のセキュリティリスクが浮かび上がります。一般的、あるいは特定のセキュリティ要件を指定したプロンプトでも、よくある脆弱性を含むコードが生成されることが多いのです。
これらの脆弱性には、コマンドインジェクションやXSSバックエンド、フロントエンド、安全でないファイルアップロード、パスのトラバーサルなどが含まれます。Backslash Securityの共同創業者兼CTOのヨッシ・ピック氏は、AIによって生成されたコードはセキュリティチームにとっては悪夢のような状況を生んでおり、新しいコードとLLM特有のリスクをもたらすとコメントしています。
この研究では、OpenAIのGPT、AnthropicのClaude、GoogleのGeminiといったLLMの現行バージョンを分析し、プロンプトの技術が、安全なコードを生む能力にどのような影響を与えるかを検証しました。安全性の要件を指定しない素朴なプロンプトに応じて、全てのLLMが最低4つのトップ10弱点に該当するセキュリティ上の脆弱性を持つコードを生成しました。一方、セキュリティが必要であることを指定したプロンプトや、OWASPのベストプラクティスに従うよう要求するプロンプトでは、より安全な結果を生みましたが、それでもテストされた7つのLLMのうち5つではコードに脆弱性が残りました。
Backslashは、GenAIツールが安全なコーディング結果に関してまだ子供の頃にあることを強調し、セキュリティチームが安全をデザインに組み込んだコードをLLMが生成するよう確実にするための厳格なプロンプトのルール開発とツールの使用が必要であるとします。開発者たちはプロンプトエンジニアリングを学ぶとともに、セキュリティ専門家またはセキュリティプロンプトエキスパートであることは期待されておらず、これはセキュリティチームにとって無脆弱性コードを生産し、長年に渡って開発者に教えてきたベストプラクティスをLLMが生成するすべてのコードに組み込む絶好の機会であると研究者は付け加えます。
出典 : Popular LLMs Found to Produce Vulnerable Code by Default https://www.infosecurity-magazine.com/news/llms-vulnerable-code-default/
