exploit開発競争でAIと人間のどちらが優位でしたか?
- コンステラ
- 5月14日
- 読了時間: 1分
A. 一部では人間側が優位だったようです。
Eximで、認証なしでリモートからコードを実行できる脆弱性が見つかりました。
研究者は、この脆弱性を利用するためのexploit開発を、人間とLLMで競争する形で試しました。脆弱性の発見自体は人間の研究者が行っています。一方で、脆弱性の悪用可能性の分析ではLLMも活用されました。
LLMは、CTFのような環境では高度なexploit chainを自動生成できたようです。ただし、実際のproduction buildで動作する実戦的なexploitの完成には至りませんでした。
最終的にproduction buildでstack leakを達成したのは人間側だけだったとされています。
研究者は、AIにより脆弱性研究の前半工程が大きく加速した点に注目していました。「脆弱性研究はターボボタンを手に入れた」という言葉も残されています。