AI脆弱性発見がパッチ展開時間を上回るペースで進行

AI駆動セキュリティにおける速度の問題

Mythosエコシステムに関連するセキュリティ専門家は、AIが発見した脆弱性と適用されるパッチとの間に生じる展開の遅れについて懸念を表明している。核心的な主張は、MythosのようなAIツールが脆弱性を前例のない速さで発見し修正できたとしても、下流の展開パイプラインが追いつけないという点にある。

議論の主なポイント

• 増加する脆弱性: MythosのようなAIモデルは脆弱性をより効果的に発見するとされ、勢いが増す中で、さらに多くの脆弱性が発見される見込み。
• エクスプロイト連鎖がゲームチェンジャー: 重要な能力は単に脆弱性を見つけることだけでなく、それらを順番に連鎖させて創造的なエクスプロイト連鎖を構築することにある。
• 発見と修正の不均衡: 著者は、Mythosが脆弱性を発見するのと同じ効果で修正を提供できるか疑問視し、「修正できるよりも多くを発見する」と予測している。
• 展開のボトルネック: 即時の修正があったとしても、パッチは上流での受け入れ、テスト、承認プロセス、下流でのパッケージングに遅延を伴う。

展開タイムラインのデータ

情報源は、重大な脆弱性に対するAI生成の時間枠を提供している：

• 上流での修正: コアプロジェクトチームによる確認後24〜48時間
• 下流でのパッケージング: 主要ディストリビューション（Ubuntu LTS、RHEL、Debian Stable）がバックポートとテストを行うのに12〜48時間
• ユーザーへの提供: 初回公開開示から2〜5日

実世界のパッチ適用統計

Log4jを例として：

• 10日目: 組織は脆弱なクラウドリソースのわずか45%しかパッチ適用していなかった
• 平均修復時間: 検出・追跡されたシステムで17日
• 優先パッチ適用: 外部向けシステムは平均12日、内部システムは遅れをとった
• 1年後: 72%の組織が少なくとも1つの脆弱なLog4jインスタンスを依然として保持していた
• 長期的見通し: 米国国土安全保障省のCSRBは、Log4jをグローバルソフトウェアサプライチェーンから完全に排除するには10年かそれ以上かかると予測した

核心的な課題

発見から修正までの速度が等しかったとしても（実際にはそうならない）、タイミングの問題は残る。上流プロジェクトからエンドユーザー展開までの下流システム全体が、AIが発見した脆弱性が悪用される前に緩和するために必要な速度で動くことはできない。これにより、開発者のストレスや緊急モードへの切り替えが生じ、時間とリソースを消費する。