GMO Flatt Security、セキュリティ診断AIエージェント「Takumi byGMO」に脆弱性の自動修正機能を追加

　GMO Flatt Security株式会社は5日、セキュリティ診断AIエージェント「Takumi byGMO」において、自動修正機能を正式に提供開始したと発表した。脆弱性の検出から修正までを一貫してAIが担うことで、開発者の負担が軽減され、より安全なソフトウェア開発サイクルを実現するという。

　Takumi byGMOは、GMO Flatt Securityが開発した、セキュリティ業務に特化したAIエージェント。AIの脆弱性検知能力を最大限に引き出し、既存の自動脆弱性診断ツールでは検出が難しい「認可制御不備」や「ロジックの脆弱性」といった脆弱性も高精度に検知できるという。また、ブラックボックス診断（DAST／動的解析）とホワイトボックス診断（SAST／静的解析）を使い分けられるほか、ソースコードの更新差分の定期診断、対象範囲を絞っての診断にも対応するとのこと。

　従来、こうしたセキュリティ診断で検出された脆弱性は、利用企業のエンジニアが修正したり、別途コーディングAIエージェントに修正を依頼したりする必要があったが、今回のアップデートでは、検出された脆弱性を対象とした修正パッチをTakumi byGMOが自動的に生成し、GitHub Pull Requestを作成する自動修正機能を提供する。

　ホワイトボックス診断、ブラックボックス診断のどちらからでも、Takumi byGMOが検出した脆弱性情報を自動修正機能へとシームレスに受け渡すことが可能。実際の画面上の操作としては、ある診断で検出された脆弱性のうち、修正したいものをプルダウンメニューで選択して、出力言語（日本語または英語）とリポジトリを指定するだけで修正案の作成を開始できる。

　また、Takumi byGMOが作成した修正案に対して、繰り返し再作成を依頼することも可能で、作成された複数の修正案を一覧して確認し、最も望ましい案でPull Requestを作成できるとした。さらに、修正案は、ユニットテストや変更内容・修正の根拠を含むレポート文章とともに作成されるため、最終工程を担うレビュアーの負担を最小限にするとしている。

　自動修正機能は、すべてのTakumi byGMOユーザーが利用できるが、利用にあたってはクレジットが必要で、クレジット消費量は、修正対象の脆弱性の複雑さやリポジトリのサイズに応じて変動する。