Cognition AI(以下、Cognition)は、「Devin Security Swarm」を発表した。悪用可能な脆弱性の検出、ランタイムでの検証、類似ソリューションよりも低コストでの修復でセキュリティチームを支援するという。
Devin Security Swarmは、AIエージェントがセキュリティチームによるレビュー能力を上回るスピードでコードを生成するようになった時代を背景に開発されたとのこと。セキュリティチームがエンジニアリングチームと同等のスピードと規模で脆弱性へ対応できるよう支援するとしている。
AIソフトウェアエンジニアの「Devin」を基盤としているため、検出された脆弱性が実際に悪用可能かどうかを検証するとともに、エンジニアリングチームが日常的に利用する開発ワークフロー上で、修正に必要なプルリクエストを自動生成するという。これにより、セキュリティチームは新たに検出される脆弱性へ迅速に対応できるようになり、バックログがチームの対応能力を上回るスピードで増え続けることを防ぐと述べている。
大規模環境向けの包括的な検出
Devin Security Swarmは、エージェント型のMapReduceアーキテクチャを採用し、複数のAIエージェントがファイルを横断的に解析・推論することで、ビジネスロジックの不備やサービス間をまたぐ認証バイパスなど、アプリケーションの実際の動作に潜む脆弱性を検出するという。
また、検出した脆弱性は、それぞれ隔離されたサンドボックス環境で再現し、ランタイムにおいて実際に悪用可能であることを検証。悪用可能と判断された脆弱性については、Devinがパッチを生成するとともに、修正内容を反映したプルリクエストを自動生成するとのことだ。
実証可能な性能と優れたコスト効率
GitHub Security Advisoriesで公開されている実際の脆弱性50件を対象に、14のプログラミング言語にわたって実施されたベンチマークにおいて、36件の脆弱性を検出。これは、テスト対象となった他のAIベースの脆弱性スキャナーを上回る検出数であり、1件あたりの検出コストも、最も性能が近い類似サービスと比べて30%低い結果になったとしている。加えて、他のすべてのツールで検出できなかった3件の重大な脆弱性を、Devin Security Swarmのみが検出したという。
セキュリティ脆弱性対応プログラム
エンタープライズ企業におけるセキュリティ対策の高度化を支援するため、Cognitionは、組織のアプリケーション・セキュリティ体制を評価し、既存の脆弱性バックログの解消を支援する6週間の体系的なプログラム「Devin Security Program」を提供するとのこと。同プログラムにより、セキュリティ責任者は、脆弱性バックログを計画的に解消するとともに、コードベースの健全性を継続的に維持するAIエージェントと、脆弱性を継続的に検出する仕組みを導入できるという。
【関連記事】
・Devinを「ナンバーワン」にできるか? Cognition AI日本法人が本格始動、事業戦略を語る
・「Devin」のCognition AIがついに日本法人設立、不可能なモダナイズが“可能”になる時代がやってきた
この記事は参考になりましたか?
- この記事の著者
-
EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)
「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
