AI コード、AI 修正: 自動化により、作成されたものを保護できますか?

Vibe コーディング プロジェクトに脆弱性が蔓延しています。

AIを活用したソフトウェア開発は、SFの世界から現実の世界に変わりました。AIでコーディングされたプロジェクトは、ハッカーに欠陥が見つかるまでは完璧に動作するかもしれません。この記事では、Bolt.new vibeコーディングプラットフォームで作成された実際のプロジェクトでScribeのAIエージェントによる分析と自動修復ワークフローをテストするために実施した実験を通して、AIが生成したコードが発見や脆弱性だらけから信頼できる製品になるまでの道のりを解説します。

プロジェクトの生成

課題はシンプルでした。
ハードウェア GPIO ラインをリアルタイムで監視し、動的に更新される Web ページにそのステータスを表示する Web アプリケーションを構築します。

Bolt.new は、1 つのプロンプトでプロジェクト全体 (WebSocket サーバー、React.js フロントエンド、さらには GitHub の README.md ファイルまでを含む Node.js プロジェクト) を生成しました。

生成プロセスにはわずか 22.04 分かかりましたが、コードをローカル Linux 環境 (WSL 上の Ubuntu XNUMX) にダウンロードし、インストールして実行することができました。 

すぐに動作し、驚きました。実行中のアプリのスクリーンショットはこちらです。

第一印象

デプロイ後、プロジェクトの構造を詳しく調査しました。アプリには20個のソースコードファイルと15個の設定ファイルがあり、依存関係を含めたインストール全体では10,000個を超えるファイルがありました。そこで重要な疑問が浮かび上がりました…AI生成コードはどれほど安全で信頼できるのでしょうか？

フェーズ1：従来の計測

最初のステップは、Scribeのクラシックインストルメンテーションを実行し、ビルドプロセスからセキュリティ証明書を収集することでした。これにより、以下の結果が得られました。
– 詳細なSBOM（ソフトウェア部品表）
– 脆弱性レポート（直接依存関係と推移依存関係）
– SAST（静的解析）結果
– 秘密のスキャン結果

脆弱性レポート

• 重大ではない脆弱性
• 重大度の高い脆弱性6件

SASTの調査結果

•  3つの重大度の高い所見
• 中程度の重症度の所見12件

フェーズ2: Scribe AIによる自動修復

次に、プロジェクトをGitHubにアップロードし、 レムスScribe の AI 自動修復エージェント ワークフロー。 レムス、実際には、 のネットワーク 4 AIエージェントは、自律的かつ協調的に動作するように設計されています。各エージェントは専用の機能を備えており、複雑な問題解決に対する分散アプローチを可能にします。このアーキテクチャにより、このツールはデータ分析やパターン認識から意思決定や予測モデリングまで、幅広いタスクを処理できます。
Running: レムス 以前に特定された脆弱性と SAST の問題を対象とした修正を含むプル リクエストが作成されました。

以下は自動的に提案されたコミットの例です。 レムス 脆弱性を修正するには: 

PR をマージした後、プロジェクトを再構築し、以前と同じように動作していることを確認し、プロジェクトを再スキャンして問題がないか確認しました。

結果後 レムス 修復

劇的な変化でした！
– 脆弱性スキャン: 中程度の重大度の問題が1件のみ残っています

– SAST 結果: 中程度の重大度の項目 1 つを除いてすべて修正済み

Scribe の AI エージェント修復ワークフローは、製品の機能を妨げることなく、重大かつ重大度の高い問題を効果的に解決し、手動介入が必要な軽微な問題のみを残しました。

重要なポイント

この実験では次のことが示されました。

1. AI生成コードは一見完全に機能しているように見えますが、すぐに使える機能には重大なセキュリティリスクと信頼性への懸念が伴います。このようなコードを利用するプロジェクトは、脅威アクターによる高いリスクに直面します。
2. パイプラインにおけるセキュリティ対策は不可欠です。ScribeのGitHubプラグインにより、生成されたプロジェクトに複数の重大な脆弱性が明らかになりました。
3. Scribe の AI を活用した自動修復エージェント ワークフローは強力です。プロジェクトの機能を完全に維持しながら、自動修正によってプロジェクトのリスク プロファイルを大幅に削減しました。

最終的な考え

AIが生成したプロジェクトとAI主導の修復を組み合わせることで、ソフトウェアがこれまで以上に迅速に作成され、セキュリティが確保される未来が示唆されます。人間による監視は依然として重要ですが、次のようなツールも活用できます。 スクライブハブ AI エージェントによる AppSec ワークフローにより、自動コード修復が可能であるだけでなく、実用的であることが証明されます。

関連記事

地図なしで戦いに行きますかね？

ソフトウェア サプライ チェーンのセキュリティ確保は、「ソフトウェア ファクトリー」の発見とガバナンスから始まります。今日のソフトウェア開発環境では、チームはコード リポジトリ、ビルド パイプライン、コンテナー イメージなどの分散資産を扱います。この分散モデルは柔軟性を提供し、生産を高速化しますが、資産を断片化し、ガバナンスとセキュリティ監視を複雑にします。特に […]

ソフトウェア部品表による脆弱性の特定: セキュリティ、透明性、コンプライアンスの確保

ソフトウェア サプライ チェーンの複雑さが増すにつれ、ソフトウェア コンポーネントの管理とセキュリティ保護はより困難になっています。この問題に対処するために、ソフトウェア開発ライフサイクルにおけるセキュリティ、透明性、コンプライアンスを確保するための重要なツールとして、ソフトウェア部品表 (SBOM) が登場しました。SBOM は、ソフトウェアの作成に使用されるすべてのコンポーネントの包括的な記録です。[…]

ASPMとは?®

アプリケーションの複雑化とセキュリティ脅威の蔓延に伴い、ソフトウェア アプリケーションのセキュリティを確保することが組織にとって大きな課題となっています。 Application Security Posture Management (ASPM) は、これらの課題の解決策として登場し、可視性の向上、脆弱性の管理、ソフトウェア開発ライフサイクル全体にわたるセキュリティ制御の強化のためのフレームワークを提供します。 […]