AIコーディングエージェントが脆弱性研究の手法に変革をもたらす見通しが強まっている。ソースコードリポジトリに対して「ゼロデイを見つけろ」という指示を与えるだけで、高度な脆弱性発見が可能になると予測されている。数ヶ月以内に、コーディングエージェントは脆弱性研究の実践と経済性を劇的に変える可能性が高い。
これまで2年間、技術者たちはAIコーディングエージェントが脆弱性の大量発生をもたらすと警告していた。予測は的中したが、予想とは異なる理由で実現する見通しだ。従来、脆弱性研究は極めて高い専門知識を要求してきた。1990年代のスタックオーバーフロー時代、研究者たちはGDBを駆使し、C言語とSPARCアセンブリの深い理解を必要とした。数十年経過した現在も、エクスプロイト開発者たちは複雑なシステム実装の詳細な知識、メモリレイアウト、コンパイル最適化、インダイレクトジャンプの位置など、非常に細かい実装知識を要求されている。この「エリート注意力の希少性」がセキュリティを実質的に守ってきた。
フロンティアLLMは訓練時点で、膨大なソースコード全体にわたる相関関係を既にエンコードしている。脆弱性発見はバグパターンのマッチングと到達可能性・悪用可能性の制約求解——LLMが最も得意とする暗黙的探索問題だ。エージェントは倦まず、指示された限り無限に探索し続ける。ソフトウェア開発能力において、脆弱性発見は数十億ドルの訓練投資の最先端に位置する。
従来、脆弱性研究は高度な専門知識を持つエリート研究者に独占されてきた。複雑なシステム実装や特定分野の詳細な理解が必須だった。こうした知識要求は本質的に興味深い分野ではなく、攻撃者が制御可能なデータに曝露されているという一点で価値があった。恣意的な知識要求の壁が、実質的には脆弱性研究への進入障壁として機能していた。
AIエージェントはこの高い進入障壁を一掃する可能性がある。ユーザーはコードリポジトリを指定し「ゼロデイを見つけろ」と指示するだけでよくなるだろう。複雑な実装知識の深い理解は不要になる。
数ヶ月以内に、コーディングエージェントは脆弱性発見の大規模な民動化を実現する見通しだ。高度な脆弱性研究(おそらく大部分)は、単にエージェントをソースツリーに向けて実行することで発生するようになるだろう。この結果は固定済みであり、既に明確な兆候が見られ始めている。情報セキュリティとインターネット自体が深刻に変わることになる。
これまで脆弱性研究を守ってきたのは健全なエンジニアリング対策ではなく、エリート注意力の希少性だった。多くの重要なシステムは、その希少性に依存してきた。フロンティアLLMの継続的な改善は緩やかではなく、階段関数的に進む。
この記事はAI業界の最新動向を速報でお届けする「AI Heartland ニュース」です。