セキュリティ

それとも、今日はただのこと、AIが絶えずコードリポジトリを掘り下げてセキュリティの穴を探しているだけでは？

OPINION 汚いフラグ、コピー失敗、およびFragnesia は、Linuxのバグのランダムな塊というよりも、AIツールがたったの数回のプロンプトでセキュリティ上の脆弱性を開いてしまう方法の一般公開に過ぎない。それらが共通している点は、共通してコアカーネル抽象化であるページキャッシュを悪用することだ。これはあなたと私にとってどういう意味か？これは、殺人者級のLinuxセキュリティ問題の激しい雨が降る前の小雨なのか、それともただの小雨なのか？質問する人によって異なる。

それ以外に真実があるとしても、これらの問題は解決される必要があります。CloudLinuxのCEOであるイゴール・セレツキーは言います。は言いました。「実際の問題は、私たちは通常、年に1つか2つ、複数のディストリビューション/バージョンに影響を与えるカーネルレベルのLPE（Linux特権昇格）脆弱性を見ることが多いということです。そして今、1週間おきに2つもそのような脆弱性が見られます。この傾向が数ヶ月間続くことを予想すべきで、会社はサーバーを週に一度再起動する必要があるかもしれません。」

オuch！

しかし、これがトレンドの始まりなのでしょうか？ Linuxについて詳しいリーナス・トーレヴァルドは、北米オープンソースサミットで において、最近まではカーネルコミュニティが配布판にバグを静かに通知し、脆弱性の詳細を記述せずアップグレードを依頼していたが、「ほとんどの場合、何が起こったのか誰も気づかなかった」と回想した。それが過去だった。今は違う。AIで加速された分析を思い出し、「先週、私たちはバグを修正した；3時間以内にブログ記事が投稿された」と述べた。 そのバグ修正の意味合いについて、セキュリティ関係者は注目を得るのが好きだからです。"

このようなことの結果、TorvaldsはLinuxセキュリティコミュニティがAI発見のセキュリティホールに対処する方法を変更しました。" " AI検知されたバグは定義上ほぼ秘密ではありません、そしてプライベートなリストでそれらを扱うのは、関与している全員にとって時間の無駄であり、報道者がお互いの報告を見ることができないため、その重複はさらに悪化する。 

さらに、トルバルドは、AIによって発見されたバグの場合、ただ「AIで見つけたからといって、他の100人もAIで見つけた」と心に留めておく必要があると付け加えた。

それは私たちがもっと多くのLinuxのセキュリティ問題について聞くことになるということです。しかし、それらが悪化しているのでしょうか？私はLinux安定版カーネルのメンテナであるグレッグ・クロー・ハートマンに尋ねましたが、彼は私に「おそらく？分かりません；「最近の」ものは本当にとても小さな問題であり、「信頼できないユーザー」を持つシステムの数はもう一般的ではありません。私には、実際のバグ修正で何か本当の増加を感じるものはありません」と伝えました。

彼は続けました。「私たちは毎日そのようなバグを修正しており、それがただの人々の増加です」 「バグを名付け、公開エクスプロイトをリリースする」ことが今や流行っているようだ。

クリス・ライト（Chris Wright）、Red HatのCTOが述べた重要なポイントはRed Hat Summit(レッドハット・サミット)、先週は、「セキュリティでは、すべてが平等に作られられない。常に、表面に出る脆弱性のスペクトラムがある。それらのうちいくつかは非常に重要で、私たちは非常に迅速に対応する必要があり、それが明確な優先事項になる。他のものは、より低い深刻度の長い尾を持つ。」という文脈にある。 

トーヴァルドはまたオープンソースサミットで、LinuxやAIが発見したバグについての話を読んでも、同じようなことは独占ソフトウェア、例えばWindowsにも起こっていると思わないでと言った。 「AIがクローズドソースを逆コンパイルできないと思っているなら、驚くべきことに」実際、彼は警告した。「クローズドソースはこの点ではさらに悪い、なぜならAIがそれらの問題を修正するのを助けてもらえないからだ」、しかしAIは確かに最初に問題を見つけるのを助けることができます。"

彼はまた、セキュリティ研究者が機能しているエクスプロイトを公開することを奨励しなかった：「本当にセキュリティ上の問題である場合、エクスプロイトを公開したくないかもしれません…公にそれについて自慢する人ではありません。'見て、この大きな会社を壊すことができると言います'"

このテーマに続き、クリストファー「CRob」・ロビンソン、最高セキュリティアーキテクトとしてオープンソースソフトウェア財団 (OpenSSF)、と語ったザ・レジスター(The Register) AIのおかげで、「約30％の報告されたLinuxのセキュリティバグが重複していた」という。それはまたAI時代の別の問題になるだろう。この時代では誰もが研究者であり、$20のクラウドコードアカウントでさえそうだよね。それがさらに、すでに多忙なメンテナに、さらにパッチを処理しなければならない負担をかけることになる。。

Linux、トーヴァルドスは付け加えました、はそのメンテナが処理できるものです。しかし、小規模なオープンソースプロジェクトは、すべてあまりにも圧倒されがちです。

実際の問題は、それについて何か Google セキュリティ脅威情報グループ は発見した、のは 脆弱性の利用に要する時間（TTE）は継続的に減少しています 「2018年の63日から2024年の-1日へ、さらに2025年で予想される-7日へと低下。負の数は、平均して脆弱性の悪用がパッチのリリースに先立って発生したことを示す。」

これはどういう意味ですか？はい、Linuxや他のオープンソースプロジェクトで多くのセキュリティ脆弱性が見つかるようになるでしょう。はい、そのうちいくつかは深刻なものがあり、パッチが配布される前に多くのものにエクスプロイトが公開されるでしょう。しかし、それはLinuxが突然セキュリティが低下したからではありません。それはAIの目が人間の目よりもずっとバグを検出するのが得意になったからです。私たちは追いつくでしょう、そしてAIもそのために役立ちます。 

その間、システム管理者と開発者はこれまで以上にセキュリティ意識を持ちなければならない。ライトがThe Regに語ったように、SELinuxを許容モードから厳格モードに切り替える時が来た。厳格なセキュリティを強制することは苦痛だが、それ以上に苦痛なのは深刻な攻撃が侵入した後、コンテナやサーバーを再構築しなければならないことだ。 ®