良い道具が悪用される時:AIツール中毒、そしてAIが二重スパイになるのを防ぐ方法
人工知能による開発支援(あるいはより一般的な表現である「雰囲気コーディング」)は、コード生成に大きな変革をもたらしています。熟練した開発者がこぞってこれらのツールを採用する一方、これまでソフトウェア開発の経験が不足していた人々も、従来はコストと時間がかかりすぎた資産を構築するために活用しています。この技術が新たなイノベーションの時代を切り開く可能性を秘めている一方で、一連の新たな脆弱性とリスクプロファイルをもたらしており、セキュリティリーダーたちはこれらの脆弱性とリスク状況の緩和に取り組んでいます。
InvariantLabsは最近、モデルコンテキストプロトコル(MCP)に重大な脆弱性を発見しました。MCPはAPIに似たフレームワークであり、強力なAIツールが他のソフトウェアやデータベースと自律的にやり取りすることを可能にし、いわゆる 「ツール中毒攻撃」を可能にする新たな脆弱性カテゴリーであり、企業に特に大きな損害をもたらす可能性があります。WindsurfやCursorといった主要なAIツールも例外ではなく、数百万のユーザーにとって、この新たなセキュリティ問題に対処するための意識とスキルが極めて重要です。
現時点では、これらのツールの出力は常に十分に安全とは限らず、前述のように企業向けと認定するには至らない。AWSとIntuitのセキュリティ研究者であるVineeth Sai NarajalaとIdanHablerによる最近の研究論文では次のように述べられている:「AIシステムが自律性を増し、MCPのようなものを通じて外部ツールやリアルタイムデータと直接やり取りし始めるにつれ、こうしたやり取りの安全性を確保することが絶対的に不可欠となる。」
代理人工知能システムおよびモデルコンテキストプロトコルのリスク概要
モデルコンテキストプロトコル(MCP)は、Anthropicが開発した便利なソフトウェアであり、大規模言語モデル(LLM)AIエージェントやその他のツール間の統合をより良く、シームレスに実現します。これは強力なユースケースであり、プロプライエタリなアプリケーションとGitHubなどの基幹業務向けSaaSツールの間に、最先端のAIソリューションと相互運用可能な可能性に満ちた世界を切り開きます。MCPサーバーを記述するだけで、その動作方法や達成すべき目的に関するガイドラインを策定するだけで開始できます。
実際、MCP技術がセキュリティに与える影響は概ね好ましいものである。LLMとセキュリティ専門家が使用する技術スタックとのより直接的な統合を実現するという約束は魅力的であり、無視できないものであり、少なくとも各タスクごとにカスタムコードを記述・デプロイすることなく、これまで不可能だったレベルで精密なセキュリティタスクの自動化を実現する可能性を秘めている。データ、ツール、人材間の深い可視性と接続性が効果的なセキュリティ防御と計画の基盤であることを考慮すると、MCPはLLMの相互運用性を強化し、企業セキュリティに刺激的な展望をもたらす。
しかし、MCPの使用は他の潜在的な脅威の媒介をもたらす可能性があり、慎重に管理されない限り、企業の攻撃対象領域を大幅に拡大する。Unchanging Labsが指摘したように、ツール中毒攻撃は新たな脆弱性カテゴリーを構成し、AIモデルによる機密データの漏洩や不正操作を引き起こす可能性がある。それ以来、セキュリティ上の懸念は急速に深刻化している。
InvariantLabsは、悪意のある指令がMCPツール記述に埋め込まれた場合、ユーザーには見えないがAIモデルによって完全に読み取られ(かつ実行され)得るため、ツール中毒攻撃が可能になると指摘している。これにより、ユーザーが知らないうちにツールが不正な操作を実行する危険性がある。問題は、MCPが「全てのツール記述は信頼できる」という前提に立っている点にあり、これは脅威アクターにとってまさに好都合な状況だ。
彼らは損傷した工具が引き起こす可能性のある以下の結果に気づいた:
- AIモデルが機密ファイル(SSHキー、設定ファイル、データベースなど)にアクセスすることを許可する;
- 指示 AI が、これらの悪意のある行為を認識していないユーザーから隠蔽する環境において、これらのデータを抽出し転送すること;
- 一見単純なツールのパラメータや出力のユーザーインターフェース表現の背後に隠すことで、ユーザーが目にしている内容とAIモデルの操作との間に乖離を生じさせる。
これは懸念すべき緊急の脆弱性カテゴリであり、MCPの利用が必然的に増加し続けるにつれ、この種の脆弱性がより頻繁に確認されることはほぼ確実です。企業のセキュリティ計画が発展するにつれ、この脅威を発見・緩和するための慎重な対策が講じられるでしょう。その際、開発者が解決策に十分関与できるよう準備を整えることが極めて重要です。
なぜ安全スキルを備えた開発者のみが代理人工知能ツールを利用できるのか
エージェント型AIコーディングツールは、人工知能によるコーディング支援の次なる進化形と見なされており、ソフトウェア開発における効率性、生産性、柔軟性を高める能力を強化します。文脈や意図を理解する能力が向上しているため特に有用ですが、攻撃者による即時的なコード注入、幻覚、行動操作といった脅威から免れることはできません。
開発者はコードの品質を左右する防波堤であり、鋭敏なセキュリティ意識と批判的思考能力を維持することが、将来のセキュアソフトウェア開発の基盤となる。
人工知能の出力を盲目的に信頼してはならない。安全スキルを備えた開発者が状況に応じた批判的思考を駆使して初めて、この技術がもたらす生産性向上を安全に活用できる。とはいえ、ペアプログラミング環境下で運用され、人間の専門家がそのツールの作業を評価し、脅威をモデル化し、最終的に承認できる状態に置かなければならない。
開発者がAIを活用してスキルを向上させ、作業効率を高める方法の詳細はこちら。
実用的な緩和技術、および最新の研究論文におけるさらなる内容
人工知能コーディングツールとMCP技術は、将来のサイバーセキュリティにおいて重要な要素となるでしょう。しかし、肝心なのは、水域を調査する前に飛び込まないことです。
ナラジャラとハブラーの論文は、企業レベルでのMCP導入における包括的な緩和戦略とそのリスクの継続的管理について詳細に説明している。最終的には、多層防御とゼロトラストの原則を中心に据え、この新たなエコシステムが企業環境に特有のリスク状況をもたらすことを明確に示している。特に開発者にとって、以下の分野における知識の空白を埋めることが極めて重要である:
- 認証とアクセス制御:エージェント型AIツールの機能は、設定された目標を達成するために問題を解決し自律的な意思決定を行うことであり、これは人間がエンジニアリングタスクを処理する方法と概ね同様である。しかし、既に確認した通り、これらのプロセスに対する熟練した人間の監視は軽視できず、ワークフロー内でこれらのツールを使用する開発者は、自身がどのようなアクセス権限を有しているか、取得または漏洩する可能性のあるデータ、そしてそれらのデータをどこで共有できるかを正確に把握しなければならない。
- 一般的な脅威の検出と緩和:ほとんどの人工知能プロセスと同様に、ツールの出力における潜在的な欠陥や不正確さを発見するには、ユーザー自身がタスクに精通している必要があります。開発者は、セキュリティプロセスを効果的に審査し、AIが生成したコードを安全性の精度と権威性をもって審査するために、継続的なスキル向上とそれらのスキルの検証を受けなければなりません。
- 安全ポリシーとAIガバナンスとの整合性:開発者は承認済みツールについて理解し、スキル向上と使用権限取得の機会を得るべきである。信頼を確立する前に、開発者とツールの両方がセキュリティベンチマークテストを受ける必要がある。
私たちは最近、雰囲気コーディングとAI支援コーディングの出現、および次世代のAI駆動型ソフトウェアエンジニアを育成するために企業が講じるべき対策に関する研究論文を発表しました。今すぐご覧いただき、開発チームを強化するためにお問い合わせください。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
人工知能による開発支援(あるいはより一般的な表現である「雰囲気コーディング」)は、コード生成に大きな変革をもたらしています。熟練した開発者がこぞってこれらのツールを採用する一方、これまでソフトウェア開発の経験が不足していた人々も、従来はコストと時間がかかりすぎた資産を構築するために活用しています。この技術が新たなイノベーションの時代を切り開く可能性を秘めている一方で、一連の新たな脆弱性とリスクプロファイルをもたらしており、セキュリティリーダーたちはこれらの脆弱性とリスク状況の緩和に取り組んでいます。
InvariantLabsは最近、モデルコンテキストプロトコル(MCP)に重大な脆弱性を発見しました。MCPはAPIに似たフレームワークであり、強力なAIツールが他のソフトウェアやデータベースと自律的にやり取りすることを可能にし、いわゆる 「ツール中毒攻撃」を可能にする新たな脆弱性カテゴリーであり、企業に特に大きな損害をもたらす可能性があります。WindsurfやCursorといった主要なAIツールも例外ではなく、数百万のユーザーにとって、この新たなセキュリティ問題に対処するための意識とスキルが極めて重要です。
現時点では、これらのツールの出力は常に十分に安全とは限らず、前述のように企業向けと認定するには至らない。AWSとIntuitのセキュリティ研究者であるVineeth Sai NarajalaとIdanHablerによる最近の研究論文では次のように述べられている:「AIシステムが自律性を増し、MCPのようなものを通じて外部ツールやリアルタイムデータと直接やり取りし始めるにつれ、こうしたやり取りの安全性を確保することが絶対的に不可欠となる。」
代理人工知能システムおよびモデルコンテキストプロトコルのリスク概要
モデルコンテキストプロトコル(MCP)は、Anthropicが開発した便利なソフトウェアであり、大規模言語モデル(LLM)AIエージェントやその他のツール間の統合をより良く、シームレスに実現します。これは強力なユースケースであり、プロプライエタリなアプリケーションとGitHubなどの基幹業務向けSaaSツールの間に、最先端のAIソリューションと相互運用可能な可能性に満ちた世界を切り開きます。MCPサーバーを記述するだけで、その動作方法や達成すべき目的に関するガイドラインを策定するだけで開始できます。
実際、MCP技術がセキュリティに与える影響は概ね好ましいものである。LLMとセキュリティ専門家が使用する技術スタックとのより直接的な統合を実現するという約束は魅力的であり、無視できないものであり、少なくとも各タスクごとにカスタムコードを記述・デプロイすることなく、これまで不可能だったレベルで精密なセキュリティタスクの自動化を実現する可能性を秘めている。データ、ツール、人材間の深い可視性と接続性が効果的なセキュリティ防御と計画の基盤であることを考慮すると、MCPはLLMの相互運用性を強化し、企業セキュリティに刺激的な展望をもたらす。
しかし、MCPの使用は他の潜在的な脅威の媒介をもたらす可能性があり、慎重に管理されない限り、企業の攻撃対象領域を大幅に拡大する。Unchanging Labsが指摘したように、ツール中毒攻撃は新たな脆弱性カテゴリーを構成し、AIモデルによる機密データの漏洩や不正操作を引き起こす可能性がある。それ以来、セキュリティ上の懸念は急速に深刻化している。
InvariantLabsは、悪意のある指令がMCPツール記述に埋め込まれた場合、ユーザーには見えないがAIモデルによって完全に読み取られ(かつ実行され)得るため、ツール中毒攻撃が可能になると指摘している。これにより、ユーザーが知らないうちにツールが不正な操作を実行する危険性がある。問題は、MCPが「全てのツール記述は信頼できる」という前提に立っている点にあり、これは脅威アクターにとってまさに好都合な状況だ。
彼らは損傷した工具が引き起こす可能性のある以下の結果に気づいた:
- AIモデルが機密ファイル(SSHキー、設定ファイル、データベースなど)にアクセスすることを許可する;
- 指示 AI が、これらの悪意のある行為を認識していないユーザーから隠蔽する環境において、これらのデータを抽出し転送すること;
- 一見単純なツールのパラメータや出力のユーザーインターフェース表現の背後に隠すことで、ユーザーが目にしている内容とAIモデルの操作との間に乖離を生じさせる。
これは懸念すべき緊急の脆弱性カテゴリであり、MCPの利用が必然的に増加し続けるにつれ、この種の脆弱性がより頻繁に確認されることはほぼ確実です。企業のセキュリティ計画が発展するにつれ、この脅威を発見・緩和するための慎重な対策が講じられるでしょう。その際、開発者が解決策に十分関与できるよう準備を整えることが極めて重要です。
なぜ安全スキルを備えた開発者のみが代理人工知能ツールを利用できるのか
エージェント型AIコーディングツールは、人工知能によるコーディング支援の次なる進化形と見なされており、ソフトウェア開発における効率性、生産性、柔軟性を高める能力を強化します。文脈や意図を理解する能力が向上しているため特に有用ですが、攻撃者による即時的なコード注入、幻覚、行動操作といった脅威から免れることはできません。
開発者はコードの品質を左右する防波堤であり、鋭敏なセキュリティ意識と批判的思考能力を維持することが、将来のセキュアソフトウェア開発の基盤となる。
人工知能の出力を盲目的に信頼してはならない。安全スキルを備えた開発者が状況に応じた批判的思考を駆使して初めて、この技術がもたらす生産性向上を安全に活用できる。とはいえ、ペアプログラミング環境下で運用され、人間の専門家がそのツールの作業を評価し、脅威をモデル化し、最終的に承認できる状態に置かなければならない。
開発者がAIを活用してスキルを向上させ、作業効率を高める方法の詳細はこちら。
実用的な緩和技術、および最新の研究論文におけるさらなる内容
人工知能コーディングツールとMCP技術は、将来のサイバーセキュリティにおいて重要な要素となるでしょう。しかし、肝心なのは、水域を調査する前に飛び込まないことです。
ナラジャラとハブラーの論文は、企業レベルでのMCP導入における包括的な緩和戦略とそのリスクの継続的管理について詳細に説明している。最終的には、多層防御とゼロトラストの原則を中心に据え、この新たなエコシステムが企業環境に特有のリスク状況をもたらすことを明確に示している。特に開発者にとって、以下の分野における知識の空白を埋めることが極めて重要である:
- 認証とアクセス制御:エージェント型AIツールの機能は、設定された目標を達成するために問題を解決し自律的な意思決定を行うことであり、これは人間がエンジニアリングタスクを処理する方法と概ね同様である。しかし、既に確認した通り、これらのプロセスに対する熟練した人間の監視は軽視できず、ワークフロー内でこれらのツールを使用する開発者は、自身がどのようなアクセス権限を有しているか、取得または漏洩する可能性のあるデータ、そしてそれらのデータをどこで共有できるかを正確に把握しなければならない。
- 一般的な脅威の検出と緩和:ほとんどの人工知能プロセスと同様に、ツールの出力における潜在的な欠陥や不正確さを発見するには、ユーザー自身がタスクに精通している必要があります。開発者は、セキュリティプロセスを効果的に審査し、AIが生成したコードを安全性の精度と権威性をもって審査するために、継続的なスキル向上とそれらのスキルの検証を受けなければなりません。
- 安全ポリシーとAIガバナンスとの整合性:開発者は承認済みツールについて理解し、スキル向上と使用権限取得の機会を得るべきである。信頼を確立する前に、開発者とツールの両方がセキュリティベンチマークテストを受ける必要がある。
私たちは最近、雰囲気コーディングとAI支援コーディングの出現、および次世代のAI駆動型ソフトウェアエンジニアを育成するために企業が講じるべき対策に関する研究論文を発表しました。今すぐご覧いただき、開発チームを強化するためにお問い合わせください。
人工知能による開発支援(あるいはより一般的な表現である「雰囲気コーディング」)は、コード生成に大きな変革をもたらしています。熟練した開発者がこぞってこれらのツールを採用する一方、これまでソフトウェア開発の経験が不足していた人々も、従来はコストと時間がかかりすぎた資産を構築するために活用しています。この技術が新たなイノベーションの時代を切り開く可能性を秘めている一方で、一連の新たな脆弱性とリスクプロファイルをもたらしており、セキュリティリーダーたちはこれらの脆弱性とリスク状況の緩和に取り組んでいます。
InvariantLabsは最近、モデルコンテキストプロトコル(MCP)に重大な脆弱性を発見しました。MCPはAPIに似たフレームワークであり、強力なAIツールが他のソフトウェアやデータベースと自律的にやり取りすることを可能にし、いわゆる 「ツール中毒攻撃」を可能にする新たな脆弱性カテゴリーであり、企業に特に大きな損害をもたらす可能性があります。WindsurfやCursorといった主要なAIツールも例外ではなく、数百万のユーザーにとって、この新たなセキュリティ問題に対処するための意識とスキルが極めて重要です。
現時点では、これらのツールの出力は常に十分に安全とは限らず、前述のように企業向けと認定するには至らない。AWSとIntuitのセキュリティ研究者であるVineeth Sai NarajalaとIdanHablerによる最近の研究論文では次のように述べられている:「AIシステムが自律性を増し、MCPのようなものを通じて外部ツールやリアルタイムデータと直接やり取りし始めるにつれ、こうしたやり取りの安全性を確保することが絶対的に不可欠となる。」
代理人工知能システムおよびモデルコンテキストプロトコルのリスク概要
モデルコンテキストプロトコル(MCP)は、Anthropicが開発した便利なソフトウェアであり、大規模言語モデル(LLM)AIエージェントやその他のツール間の統合をより良く、シームレスに実現します。これは強力なユースケースであり、プロプライエタリなアプリケーションとGitHubなどの基幹業務向けSaaSツールの間に、最先端のAIソリューションと相互運用可能な可能性に満ちた世界を切り開きます。MCPサーバーを記述するだけで、その動作方法や達成すべき目的に関するガイドラインを策定するだけで開始できます。
実際、MCP技術がセキュリティに与える影響は概ね好ましいものである。LLMとセキュリティ専門家が使用する技術スタックとのより直接的な統合を実現するという約束は魅力的であり、無視できないものであり、少なくとも各タスクごとにカスタムコードを記述・デプロイすることなく、これまで不可能だったレベルで精密なセキュリティタスクの自動化を実現する可能性を秘めている。データ、ツール、人材間の深い可視性と接続性が効果的なセキュリティ防御と計画の基盤であることを考慮すると、MCPはLLMの相互運用性を強化し、企業セキュリティに刺激的な展望をもたらす。
しかし、MCPの使用は他の潜在的な脅威の媒介をもたらす可能性があり、慎重に管理されない限り、企業の攻撃対象領域を大幅に拡大する。Unchanging Labsが指摘したように、ツール中毒攻撃は新たな脆弱性カテゴリーを構成し、AIモデルによる機密データの漏洩や不正操作を引き起こす可能性がある。それ以来、セキュリティ上の懸念は急速に深刻化している。
InvariantLabsは、悪意のある指令がMCPツール記述に埋め込まれた場合、ユーザーには見えないがAIモデルによって完全に読み取られ(かつ実行され)得るため、ツール中毒攻撃が可能になると指摘している。これにより、ユーザーが知らないうちにツールが不正な操作を実行する危険性がある。問題は、MCPが「全てのツール記述は信頼できる」という前提に立っている点にあり、これは脅威アクターにとってまさに好都合な状況だ。
彼らは損傷した工具が引き起こす可能性のある以下の結果に気づいた:
- AIモデルが機密ファイル(SSHキー、設定ファイル、データベースなど)にアクセスすることを許可する;
- 指示 AI が、これらの悪意のある行為を認識していないユーザーから隠蔽する環境において、これらのデータを抽出し転送すること;
- 一見単純なツールのパラメータや出力のユーザーインターフェース表現の背後に隠すことで、ユーザーが目にしている内容とAIモデルの操作との間に乖離を生じさせる。
これは懸念すべき緊急の脆弱性カテゴリであり、MCPの利用が必然的に増加し続けるにつれ、この種の脆弱性がより頻繁に確認されることはほぼ確実です。企業のセキュリティ計画が発展するにつれ、この脅威を発見・緩和するための慎重な対策が講じられるでしょう。その際、開発者が解決策に十分関与できるよう準備を整えることが極めて重要です。
なぜ安全スキルを備えた開発者のみが代理人工知能ツールを利用できるのか
エージェント型AIコーディングツールは、人工知能によるコーディング支援の次なる進化形と見なされており、ソフトウェア開発における効率性、生産性、柔軟性を高める能力を強化します。文脈や意図を理解する能力が向上しているため特に有用ですが、攻撃者による即時的なコード注入、幻覚、行動操作といった脅威から免れることはできません。
開発者はコードの品質を左右する防波堤であり、鋭敏なセキュリティ意識と批判的思考能力を維持することが、将来のセキュアソフトウェア開発の基盤となる。
人工知能の出力を盲目的に信頼してはならない。安全スキルを備えた開発者が状況に応じた批判的思考を駆使して初めて、この技術がもたらす生産性向上を安全に活用できる。とはいえ、ペアプログラミング環境下で運用され、人間の専門家がそのツールの作業を評価し、脅威をモデル化し、最終的に承認できる状態に置かなければならない。
開発者がAIを活用してスキルを向上させ、作業効率を高める方法の詳細はこちら。
実用的な緩和技術、および最新の研究論文におけるさらなる内容
人工知能コーディングツールとMCP技術は、将来のサイバーセキュリティにおいて重要な要素となるでしょう。しかし、肝心なのは、水域を調査する前に飛び込まないことです。
ナラジャラとハブラーの論文は、企業レベルでのMCP導入における包括的な緩和戦略とそのリスクの継続的管理について詳細に説明している。最終的には、多層防御とゼロトラストの原則を中心に据え、この新たなエコシステムが企業環境に特有のリスク状況をもたらすことを明確に示している。特に開発者にとって、以下の分野における知識の空白を埋めることが極めて重要である:
- 認証とアクセス制御:エージェント型AIツールの機能は、設定された目標を達成するために問題を解決し自律的な意思決定を行うことであり、これは人間がエンジニアリングタスクを処理する方法と概ね同様である。しかし、既に確認した通り、これらのプロセスに対する熟練した人間の監視は軽視できず、ワークフロー内でこれらのツールを使用する開発者は、自身がどのようなアクセス権限を有しているか、取得または漏洩する可能性のあるデータ、そしてそれらのデータをどこで共有できるかを正確に把握しなければならない。
- 一般的な脅威の検出と緩和:ほとんどの人工知能プロセスと同様に、ツールの出力における潜在的な欠陥や不正確さを発見するには、ユーザー自身がタスクに精通している必要があります。開発者は、セキュリティプロセスを効果的に審査し、AIが生成したコードを安全性の精度と権威性をもって審査するために、継続的なスキル向上とそれらのスキルの検証を受けなければなりません。
- 安全ポリシーとAIガバナンスとの整合性:開発者は承認済みツールについて理解し、スキル向上と使用権限取得の機会を得るべきである。信頼を確立する前に、開発者とツールの両方がセキュリティベンチマークテストを受ける必要がある。
私たちは最近、雰囲気コーディングとAI支援コーディングの出現、および次世代のAI駆動型ソフトウェアエンジニアを育成するために企業が講じるべき対策に関する研究論文を発表しました。今すぐご覧いただき、開発チームを強化するためにお問い合わせください。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
人工知能による開発支援(あるいはより一般的な表現である「雰囲気コーディング」)は、コード生成に大きな変革をもたらしています。熟練した開発者がこぞってこれらのツールを採用する一方、これまでソフトウェア開発の経験が不足していた人々も、従来はコストと時間がかかりすぎた資産を構築するために活用しています。この技術が新たなイノベーションの時代を切り開く可能性を秘めている一方で、一連の新たな脆弱性とリスクプロファイルをもたらしており、セキュリティリーダーたちはこれらの脆弱性とリスク状況の緩和に取り組んでいます。
InvariantLabsは最近、モデルコンテキストプロトコル(MCP)に重大な脆弱性を発見しました。MCPはAPIに似たフレームワークであり、強力なAIツールが他のソフトウェアやデータベースと自律的にやり取りすることを可能にし、いわゆる 「ツール中毒攻撃」を可能にする新たな脆弱性カテゴリーであり、企業に特に大きな損害をもたらす可能性があります。WindsurfやCursorといった主要なAIツールも例外ではなく、数百万のユーザーにとって、この新たなセキュリティ問題に対処するための意識とスキルが極めて重要です。
現時点では、これらのツールの出力は常に十分に安全とは限らず、前述のように企業向けと認定するには至らない。AWSとIntuitのセキュリティ研究者であるVineeth Sai NarajalaとIdanHablerによる最近の研究論文では次のように述べられている:「AIシステムが自律性を増し、MCPのようなものを通じて外部ツールやリアルタイムデータと直接やり取りし始めるにつれ、こうしたやり取りの安全性を確保することが絶対的に不可欠となる。」
代理人工知能システムおよびモデルコンテキストプロトコルのリスク概要
モデルコンテキストプロトコル(MCP)は、Anthropicが開発した便利なソフトウェアであり、大規模言語モデル(LLM)AIエージェントやその他のツール間の統合をより良く、シームレスに実現します。これは強力なユースケースであり、プロプライエタリなアプリケーションとGitHubなどの基幹業務向けSaaSツールの間に、最先端のAIソリューションと相互運用可能な可能性に満ちた世界を切り開きます。MCPサーバーを記述するだけで、その動作方法や達成すべき目的に関するガイドラインを策定するだけで開始できます。
実際、MCP技術がセキュリティに与える影響は概ね好ましいものである。LLMとセキュリティ専門家が使用する技術スタックとのより直接的な統合を実現するという約束は魅力的であり、無視できないものであり、少なくとも各タスクごとにカスタムコードを記述・デプロイすることなく、これまで不可能だったレベルで精密なセキュリティタスクの自動化を実現する可能性を秘めている。データ、ツール、人材間の深い可視性と接続性が効果的なセキュリティ防御と計画の基盤であることを考慮すると、MCPはLLMの相互運用性を強化し、企業セキュリティに刺激的な展望をもたらす。
しかし、MCPの使用は他の潜在的な脅威の媒介をもたらす可能性があり、慎重に管理されない限り、企業の攻撃対象領域を大幅に拡大する。Unchanging Labsが指摘したように、ツール中毒攻撃は新たな脆弱性カテゴリーを構成し、AIモデルによる機密データの漏洩や不正操作を引き起こす可能性がある。それ以来、セキュリティ上の懸念は急速に深刻化している。
InvariantLabsは、悪意のある指令がMCPツール記述に埋め込まれた場合、ユーザーには見えないがAIモデルによって完全に読み取られ(かつ実行され)得るため、ツール中毒攻撃が可能になると指摘している。これにより、ユーザーが知らないうちにツールが不正な操作を実行する危険性がある。問題は、MCPが「全てのツール記述は信頼できる」という前提に立っている点にあり、これは脅威アクターにとってまさに好都合な状況だ。
彼らは損傷した工具が引き起こす可能性のある以下の結果に気づいた:
- AIモデルが機密ファイル(SSHキー、設定ファイル、データベースなど)にアクセスすることを許可する;
- 指示 AI が、これらの悪意のある行為を認識していないユーザーから隠蔽する環境において、これらのデータを抽出し転送すること;
- 一見単純なツールのパラメータや出力のユーザーインターフェース表現の背後に隠すことで、ユーザーが目にしている内容とAIモデルの操作との間に乖離を生じさせる。
これは懸念すべき緊急の脆弱性カテゴリであり、MCPの利用が必然的に増加し続けるにつれ、この種の脆弱性がより頻繁に確認されることはほぼ確実です。企業のセキュリティ計画が発展するにつれ、この脅威を発見・緩和するための慎重な対策が講じられるでしょう。その際、開発者が解決策に十分関与できるよう準備を整えることが極めて重要です。
なぜ安全スキルを備えた開発者のみが代理人工知能ツールを利用できるのか
エージェント型AIコーディングツールは、人工知能によるコーディング支援の次なる進化形と見なされており、ソフトウェア開発における効率性、生産性、柔軟性を高める能力を強化します。文脈や意図を理解する能力が向上しているため特に有用ですが、攻撃者による即時的なコード注入、幻覚、行動操作といった脅威から免れることはできません。
開発者はコードの品質を左右する防波堤であり、鋭敏なセキュリティ意識と批判的思考能力を維持することが、将来のセキュアソフトウェア開発の基盤となる。
人工知能の出力を盲目的に信頼してはならない。安全スキルを備えた開発者が状況に応じた批判的思考を駆使して初めて、この技術がもたらす生産性向上を安全に活用できる。とはいえ、ペアプログラミング環境下で運用され、人間の専門家がそのツールの作業を評価し、脅威をモデル化し、最終的に承認できる状態に置かなければならない。
開発者がAIを活用してスキルを向上させ、作業効率を高める方法の詳細はこちら。
実用的な緩和技術、および最新の研究論文におけるさらなる内容
人工知能コーディングツールとMCP技術は、将来のサイバーセキュリティにおいて重要な要素となるでしょう。しかし、肝心なのは、水域を調査する前に飛び込まないことです。
ナラジャラとハブラーの論文は、企業レベルでのMCP導入における包括的な緩和戦略とそのリスクの継続的管理について詳細に説明している。最終的には、多層防御とゼロトラストの原則を中心に据え、この新たなエコシステムが企業環境に特有のリスク状況をもたらすことを明確に示している。特に開発者にとって、以下の分野における知識の空白を埋めることが極めて重要である:
- 認証とアクセス制御:エージェント型AIツールの機能は、設定された目標を達成するために問題を解決し自律的な意思決定を行うことであり、これは人間がエンジニアリングタスクを処理する方法と概ね同様である。しかし、既に確認した通り、これらのプロセスに対する熟練した人間の監視は軽視できず、ワークフロー内でこれらのツールを使用する開発者は、自身がどのようなアクセス権限を有しているか、取得または漏洩する可能性のあるデータ、そしてそれらのデータをどこで共有できるかを正確に把握しなければならない。
- 一般的な脅威の検出と緩和:ほとんどの人工知能プロセスと同様に、ツールの出力における潜在的な欠陥や不正確さを発見するには、ユーザー自身がタスクに精通している必要があります。開発者は、セキュリティプロセスを効果的に審査し、AIが生成したコードを安全性の精度と権威性をもって審査するために、継続的なスキル向上とそれらのスキルの検証を受けなければなりません。
- 安全ポリシーとAIガバナンスとの整合性:開発者は承認済みツールについて理解し、スキル向上と使用権限取得の機会を得るべきである。信頼を確立する前に、開発者とツールの両方がセキュリティベンチマークテストを受ける必要がある。
私たちは最近、雰囲気コーディングとAI支援コーディングの出現、および次世代のAI駆動型ソフトウェアエンジニアを育成するために企業が講じるべき対策に関する研究論文を発表しました。今すぐご覧いただき、開発チームを強化するためにお問い合わせください。
%20(1).avif)
.avif)
