英国のサイバー機関は、AIを燃料にしたバグ発掘が、長年埋もれていた欠陥を一気に表面化させ、防御側が追いつくのに必死になるだろうと警告している。

金曜日のブログ記事で、英国国家サイバーセキュリティセンター（National Cyber Security Center）のCTO、オリー・ホワイトハウス（Ollie Whitehouse）は、いま露呈しつつある弱点の「たまり（バックログ）」が、現実的に多くのチームが修正できる速度を上回っているため、差し迫った「パッチの波（patch wave）」に備えるべきだと述べた。

「すべての組織には『技術的負債』があります。短期的な利益を優先し、耐障害性のある製品を作ることよりもそちらを優先した結果として生まれる、技術的な課題の後回し分です。これは金銭的にも時間的にもコストがかかります」とホワイトハウスは書いている。 

「十分に熟練した知識を持つ個人が利用する場合、人工知能は、この技術的負債を、技術エコシステム全体にわたって、大規模かつスピード感をもって悪用できる能力を示しつつあります」と同氏は付け加えた。NCSCによれば、その結果は、そうした弱点が大量に発見され、まとめて対処されることで「強制的な修正（forced correction）」が起きる可能性が高いという。

この警告は、提供者たちがまさにそれを行うために作られたツールを投入するのと時を同じくして投じられている。アンスロピックのClaude MythosやOpenAIのGPT-5.5-Cyberのようなモデルは、攻撃者より先にバグを見つけて修正することを約束している。だが、同じ能力は「そもそもバグを見つける」ためのハードルも下げてしまう。

• サイバーセキュリティは割に合わない仕事だ：業務量は増えるのに給料は目減りする
• AIがオープンソースのコードセキュリティを殺すことはない
• AI支援の侵入者がOAuthの悪用と持ち去った従業員アカウントでVercelを侵害
• Anthropicの魔法のコード検査機：現時点ではチェダーよりもスイスチーズの穴のほうが多い

「すべての重大度にまたがる脆弱性への対応として、さまざまなアップデートが流入することを見込んでおり、またそのうち複数が重大（クリティカル）になるとも見込んでいます」とホワイトハウスは書いています。

サイバー分野の当局は、露出している領域を縮小することで、押し寄せる洪水（大量のインシデント／アップデート）に先回りするようチームに促しています。ホワイトハウスは「すべての組織は、可能な限り早期に、自社のインターネットに面している（およびその他の外部に露出している）攻撃対象領域を特定し、最小化するための手順を講じなければなりません」と述べ、さらに、防御側は「まずは境界（パリメータ）上の技術を優先し、その後、内側へと取り組むべきです」と付け加えています。

それでも、パッチ適用だけでは十分ではありません。ホワイトハウスは、サポートが打ち切られている、または使用期限（EoL）を迎えているシステムは、そもそも置き換えが必要になる可能性があると指摘しています。

「迅速に、より頻繁に、そして規模をもってパッチを当てる準備をしてください」。これがNCSCからのメッセージです。実際には、これは同時に大量の修正が投入されることを意味し、それらを完了させるまでの時間はずっと短くなるということです。®

関連記事

• AI
• レガシー技術
• NCSC