MicrosoftはMDASH(Multi-model Agentic Scanning Harness:マルチモデルエージェント型スキャンフレームワーク)を発表しました。複数のAIモデルが連携してコードベースの脆弱性を自動的に発見・検証・実証するシステムで、従来は熟練したセキュリティエンジニアが手動で行っていた脆弱性解析の工程をAIが代替します。
MDASHは単一のモデルではなく、複数の専門化されたAIエージェントが協調して動作するマルチエージェント構成を採用しています。Microsoftによると、一方のエージェントがコード全体を解析して脆弱性の候補を抽出し、別のエージェントがその候補を実際に検証、さらに概念実証(PoC:Proof of Concept)コードを生成して人間のセキュリティチームに提示する仕組みです。従来のSAST(静的アプリケーションセキュリティテスト)ツールが見落としがちな複雑なロジックバグや多段階の攻撃経路も検出できるとしています。
X上では「防御AIの実装が実務化の段階へ。セキュリティの民主化が始まる」との期待が寄せられています。r/cybersecurityでは「攻撃AIと防御AIの軍拡競争が加速している。ツール化が進むことで個人や中小企業レベルでのセキュリティ確保も現実的になる」との見方が広まっており、Hacker Newsでは「Zero Trust(ゼロトラスト)セキュリティの新段階として、コードレビューのAI化は必然の流れ」という評価が集まっています。
大企業のセキュリティチームが高度な脆弱性解析をAIに委ねる動きが始まったことは、セキュリティの専門性が再定義されつつあることを示しています。今後は熟練エンジニアの知見をAIが増幅する方向性が主流となり、ツールの使いこなし方や出力の適切な評価能力がセキュリティ人材に求められるスキルとして重要性を増しそうです。