Googleが「AIが自律的に構築したゼロデイ攻撃」の実事例を確認・報告し、同日にOpenAIがAIセキュリティプラットフォーム「Daybreak」を発表するという、歴史的な一日がサイバーセキュリティ業界を揺るがしました。AIが攻撃ツールとして機能する時代が実証された瞬間であり、AI駆動の攻防が本格的な軍拡競争に突入したことを象徴するニュースです。
Googleが確認した事例の詳細は、AIシステムがターゲットのソフトウェアを解析し、人間のセキュリティ研究者を介さずに独自の脆弱性を発見・悪用するコードを生成したというものです。従来、ゼロデイ脆弱性の発見には高度な人間の専門知識と長時間の解析が必要でしたが、AIがそのプロセスを自動化・加速できることが実証された意味は非常に重大です。攻撃者がAIを活用すれば、脆弱性発見から悪用までのサイクルが劇的に短縮される可能性があります。
Hacker Newsではこのニュースを受け、「GoogleがAI製ゼロデイを確認した同じ日にOpenAIが防御ツールを出すというタイミングの一致がシュール。攻撃と防御のAI軍拡競争が始まった」という反応が多くの共感を呼びました。また、Redditでは「AIが人間の監督なしに新しい攻撃経路を見つけられるなら、従来のセキュリティモデルは根本から見直しが必要。BadHostとの組み合わせが特に怖い」というコメントが注目を集め、同日に発覚した複数のAI関連脆弱性が重なったことへの危機感が広がりました。
OpenAIがこの日に発表した「Daybreak」(後述:id 18参照)は、AIを活用した脆弱性検出・パッチ自動生成プラットフォームです。同じテクノロジーが攻撃にも防御にも使えるという現実が、一日のうちに鮮明になりました。専門家は、今後のサイバーセキュリティは「人間対人間」から「AI対AI」の自動化された戦いに移行しつつあると指摘しています。防御側がAIを使って脆弱性を先回りして修正できるかどうか、そのスピード競争が業界の最重要課題になりつつあります。