Vibe Codingが急拡大　AI任せの開発に潜む「見えない脆弱性」

AIが生む脆弱性

　しかし、Vibe codingの急速な普及はリスクを伴う。速さはVibe codingの魅力だが、猛スピードのAIコーディングに目を奪われるとチェックがおろそかになりがちだ。特に新参開発者はこうしたことに慣れていない。

　The Hacker Newsは、AI生成コードが「サイレントキラー脆弱性」をもたらすと警告する。サイレントキラー脆弱性とは「テストでは完璧なパフォーマンスを発揮するが、従来のセキュリティツールでは検出できない悪用可能な脆弱性」を言う。

　この脆弱性の例として、ある開発者がAIに「リセットリンクをメールで送信する『パスワードリセット機能』を作成して」と指示したケースを挙げている。その際、開発者はトークン検証に非定数時間の文字列比較を使用していたため、攻撃者の「サイドチャネル攻撃」を可能にする脆弱性ができたと指摘している。

　この検証方法では、攻撃者が処理時間を測定することで正しいパスワードの手がかりを得られてしまうのだ。

　コードはすべての機能テストに合格し、完璧に動作したが、脆弱性は特定のセキュリティテストなしで検出不可能なものだったという。

　問題の根本には、LLMの機能が「保護するためのものでない」ことにあるという。「AIは聞かれたことには答えるが、聞かれなかったことは無視する」。Vibe Codingの手軽さとスピードの裏には、落とし穴があるのだ。