DARPA、AIサイバーチャレンジ技術を社会インフラに普及へ

米国国防高等研究計画局（DARPA）は、人工知能が重要インフラのデジタル基盤を積極的に保護する未来を目指し、AIサイバーチャレンジ（AIxCC）で開発された最先端技術を広く普及させる計画を発表しました。自律型サイバー防御の限界を押し広げた2年間のコンペティションの集大成を経て、DARPAは現在、これらの高度なAIシステムを公共事業から医療システムに至るまで、不可欠なサービスを保護するために展開することの必要性を強調しています。

AIxCCは、米国高度健康研究計画局（ARPA-H）との協力による初の試みであり、ソフトウェアの脆弱性を自動的に識別しパッチを適用できるAI駆動型サイバー推論システム（CRS）の開発を目指しました。このイニシアティブは、現代社会の基盤をなすオープンソースソフトウェアを保護するという、広範で深刻化する「人間の能力を超える」課題に直接対処するものです。DARPAのディレクター、スティーブン・ウィンチェルが述べたように、世界のデジタルインフラの多くは、多大な技術的負債を抱えた「古のデジタル足場」の上に構築されており、従来の人間に依存するパッチ適用方法は遅く、費用がかかります。

ラスベガスで最近開催されたDEF CON 33サイバーセキュリティ会議では、チームアトランタがAIxCCの優勝者となり、その画期的なCRSで400万ドルの賞金を獲得しました。ジョージア工科大学、サムスンリサーチ、韓国科学技術院（KAIST）、浦項工科大学（POSTECH）の専門家からなる強力なコンソーシアムであるこのチームは、自動脆弱性検出と修正において卓越した能力を発揮しました。僅差でTrail of Bitsが300万ドル、Theoriが150万ドルを獲得しました。

このコンペティションの結果は、サイバーセキュリティ能力における極めて重要な変化を浮き彫りにしています。参加したAIシステムは、意図的に導入された合成された脆弱性の77%を成功裏に特定し、決定的なことに、その61%をわずか45分でパッチ適用しました。これらの管理されたシナリオを超えて、CRSは以前は知られていなかった18の実際の脆弱性も発見し、そのうち11をJavaコードベースで自動的にパッチ適用することに成功しました。この性能は、手動プロセスと比較して効率と費用対効果が劇的に向上していることを示しており、コンペティションのタスクでは、成功した修正1件あたり平均わずか152ドルでした。

DARPAの移行戦略の要は、これらの強力なAIツールを即座にオープンソース化することです。7つのファイナリストチームのうち4つのCRSはすでに公開されており、残りの3つも数週間以内に一般公開される予定です。この動きは、これらの革新的なソリューションへの直接アクセスを提供することで、様々な分野のサイバー防御担当者を強化することを目的としています。AIxCCプログラムマネージャーのアンドリュー・カーニーは次のように述べています。「この種の自動化を活用しない言い訳はありません。そして、これはさらに良くなるでしょう。これが新しい基準です。」

これらの技術の採用をさらに加速させるため、DARPAとARPA-Hは追加で140万ドルの賞金を拠出しました。このインセンティブは、優勝チームがAIxCCソリューションを現実世界の重要インフラソフトウェアに直接統合することを奨励することを目的としています。特に医療分野は、24時間365日の運用要求と、複雑でしばしばレガシーなITエコシステムへの依存に起因する独自の脆弱性を考慮すると、この進歩から計り知れない恩恵を受けることになります。ARPA-H暫定ディレクターのジェイソン・ルースは、患者の安全性と医療セキュリティを強化するためのこの移行を支援するという機関のコミットメントを強調しました。

AIサイバーチャレンジは、AIが単に欠陥を特定するだけでなく、大規模に積極的に修正できることを実証し、大きな飛躍を遂げました。技術のオープンソース化と展開の奨励へのコミットメントにより、DARPAは、進化し続ける脅威に対してサイバー防御担当者に前例のない優位性を提供し、ソフトウェアセキュリティの状況を根本的に変えることを目指しています。