米Anthropic Project Glasswingが突きつけた検知速度100倍という現実
米Anthropicは、セキュリティプロジェクト「Project Glasswing」の初期報告において、約50社のパートナー企業がわずか1カ月で高・重大レベルの脆弱性を1万件以上発見したと発表した。さらに、同社が独自に進めてきたオープンソースソフトウェアのスキャン結果も公表された。この結果は、AIを活用した脆弱性検知の圧倒的な効率性を示す。しかし、同時に発見された脆弱性の修正が追いつかないという新たな課題を浮き彫りにしている。私のデスクの上にある古びたExcelマクロの管理表は、この情報の洪水に対応できる設計ではない。
「高・重大レベル」1万件という物理的な処理不能
この「1万件」という数字は、我々パッチ開発エンジニアにとって、もはや処理不能を意味する。通常、人間が手動で行う脆弱性発見と検証、そしてパッチ作成のサイクルは、数週間から数ヶ月を要する。それがわずか1カ月でこれほど大量に吐き出されれば、現場はパッチを書く前に検証作業で物理的に圧死する。AIが検知する「もっともらしい脆弱性」のすべてが、真に修正が必要なものか判断するだけで人生が終わる。修正不可能なリストが増え続けるだけ。
検知ツール「Claude Mythos」の無慈悲な自動化
Anthropicは具体的なAIモデルとして「Claude Mythos」などを挙げている。これらのAIは、これまで人間が手動で見つけていた脆弱性を、桁違いのスピードと量で自動的に検知する。AIネイティブな検知ツールは、コードベース全体を数時間でスキャンし、かつては熟練工の「勘」に頼っていた論理的欠陥まで暴き立てる。それはまるで、人間がスプーンで土を掘っている横で、AIが巨大なショベルカーを動かしているようなもの。圧倒的なスケール差。
AIが吐き出す「死のリスト」と現場のパッチ開発エンジニア
AIによる検知と人間による修正のスピードの乖離が、セキュリティ現場の最大のボトルネックとなる。数年後、いや、早ければ数ヶ月後には、現場のパッチ開発エンジニアは、AIが吐き出す膨大な「高・重大レベル」の脆弱性リストに埋もれる。修正作業が物理的に追いつかなくなるという、かつてない甚大な業務負荷が、我々を襲う。それは「自動化」という名の、現場への責任転嫁。
パッチ開発:人間という「遅い」コンポーネント
AIが1分間に100件の脆弱性を見つけても、人間がパッチを1件書くのに1日かかれば、脆弱性の総量は増え続ける。我々は、冷めたコーヒーをすすりながら、古びたExcelマクロで管理されている脆弱性リストに「未対応」フラグを立て続ける。人間がパッチを書くという行為は、極めてアナログで、複雑な依存関係の調整を伴う。AIのように論理だけで完結しない。
修正の「泥臭さ」をAIは知らない
脆弱性を「見つける」のと「直す」のは、全く別の次元の話。AIは、特定のコードが脆弱であると指摘できても、それを直したことによって発生する他のレガシーコードへの依存性崩壊や、API仕様変更の泥臭い調整までは肩代わりしない。例えば、10年前から誰も触っていない暗号化ライブラリのパッチを書くために、どれほどの労力と、終わらない再起動の夜が必要か。AIには分からない。
AIによる検知自動化が強いる、人間責任の「溶解」
この圧倒的な検知スピードは、セキュリティ責任の所在を曖昧にする。AIが見つけた1万件のうち、9000件が「未対応」のまま放置されたとする。その「未対応」の責任は、パッチ開発エンジニアにあるのか。それとも、そのようなリストを吐き出したAIにあるのか。AIの実力は認めるが、現場はそれを「被害」として捉えている。
「検知」という安易な成果と、「修正」という過酷な労働
企業が「わが社はAIで脆弱性を100倍検知しました」と発表するのは簡単。しかし、それは現場のエンジニアにとって、100倍の労働を強いられる「死の宣告」と同じ。経営層やセキュリティ担当役員は、「AIによる検知自動化」を「セキュリティ向上」と同一視しがち。だが、現場では、修正されない脆弱性リストが積み上がるだけで、リスクは全く減らない。
依存関係の崩壊と、誰も責任を取れない社会インフラ
AIが提案した「もっともらしい修正」を人間が十分に検証せずに適用した結果、社会インフラを支えるシステムの依存関係が崩壊し、大規模な障害が発生するシナリオは容易に想像できる。それはまるで、熟練工の勘をブラックボックス化して、安価な下請けに丸投げするようなもの。最終的に、誰もシステム全体の論理構造を理解しておらず、誰も責任を取れない。かつてない混乱。
AIネイティブ時代のセキュリティ:人間は「修正」から「判断」へ回帰する
Project Glasswingが暴いたのは、AIの実力だけではない。それは、人間によるパッチ開発という行為の、物理的かつ論理的な限界点。我々は、AIと競争するのではなく、AIが吐き出す洪水の中で、いかに「判断」するかというアナログな能力を再武装する必要がある。冷めたコーヒーを再び温め直す。終わらない夜。
「何もしない」という判断の重要性
AIが見つけた1万件の脆弱性のうち、100件は明日にも攻撃される可能性があるが、残りの9900件は、特定の条件下でしか発現しない、あるいは、修正コストがリスクを上回る。人間がやるべきは、AIが吐き出したリストから1件1件パッチを書くことではない。AIが吐き出したリストから、どの9900件を「放置」するか判断すること。これは極めて高度な、ビジネスと法律、そして泥臭い実務の知識が必要。
AIに「修正パッチ」を書かせるという次の徒労
当然、次のステップは「AIにパッチを書かせる」こと。だが、それは新たな脆弱性を生み出すだけ。AIが書いたパッチを、人間が検証する。その検証作業で、再び現場は圧死する。AIによる自動化の波は、現場の労働をなくすのではなく、現場の労働を「より複雑で、より判断が難しく、より責任の重い」ものへと変質させる。AIという名の、新たな上司。我々は、AIが吐き出す膨大な論理矛盾と戦う、最後の防波堤。
