バグクラウド・プラットフォーム、業界に先駆けてLLM 向けAI脆弱性評価分類法を実装

2023年12月20日
<<報道資料>>
Bugcrowd Inc.

バグクラウド・プラットフォーム、業界に先駆けてLLM 向けAI脆弱性評価分類法を実装
～バグクラウド・プラットフォームにおいて、AI用大規模言語モデルにおけるAI脆弱性の分類、報告、優先順位付けの方法を定義する初のオープンソースVRTの最新版～

クラウドソーシングによる唯一のサイバーセキュリティ・プラットフォームを提供するバグクラウド　（Bugcrowd Inc. 本社：米カリフォルニア州サンフランシスコ）は本日、クラウドソーシングで寄せられた脆弱性を大規模言語モデル（LLM）で初めて定義し、優先順位を付ける脆弱性評価分類法（VRT）の最新版（https://www.bugcrowd.com/products/vulnerability-rating-taxonomy/ ）を発表しました。VRTは、ハッカーから提出された脆弱性の疑いがある情報を、業界標準の方法で報告する方法を標準化するための継続的なオープンソースの取り組みであり、ハッカー、顧客、およびバグクラウドのアプリケーション・セキュリティ・エンジニアが利用できるようバグクラウド・プラットフォームに実装されています。

この最新版VRTは、OWASP Top 10 for Large Language Model Applications（https://owasp.org/www-project-top-10-for-large-language-model-applications/ ）から一部着想を得ていますが、LLM関連の脆弱性がどのように分類され、優先順位付けされているかについて、顧客とハッカーが共通の理解を得られるようになることで、クラウドソース・サイバーセキュリティ業界にとって画期的な出来事となります。この情報で武装したハッカーは、特定の脆弱性の探索と標的型概念実証の作成に集中することができ、LLM関連資産を持つプログラムオーナーは、最良の成果を生み出すプロジェクト・スコーピングと報酬を設計することができます。

バグクラウドは、2016年にVRTを開発し、これは現在、顧客、バグクラウドのアプリケーション・セキュリティ・エンジニア、および研究者がリスクの深刻度を共有するために協力するオープンソースプロジェクトとなっています。VRTは、現在の脅威環境を反映するために常に進化できるよう設計されています。VRTが開発されて以来、何十万もの脆弱性の情報提供、検証、優先順位付けが行われており、バグクラウド・プラットフォーム上のプログラムオーナーに受け入れられてきました。

バグクラウドの創業者でありチーフストラテジーオフィサーであるCasey Ellisは次のように述べています。「AIシステムには、一般的なウェブ・アプリケーションに見られるようなよく知られた脆弱性が存在する可能性がありますが、LLMのようなAI技術は、私たちの業界が理解し、実証し始めたばかりの先例のないセキュリティ上の課題を導き出します」

また、LLMプラットフォーム・プロバイダのCohere社のシニア・セキュリティ・エンジニアで最新版VRTの主要コントリビューターであるAds Dawson氏は、次のように述べています。「このVRTの最新版は、攻撃的なセキュリティ調査とレッド・チーム結成による新しい形態をプログラム参加者に開放するだけでなく、企業がこのような新たな攻撃ベクトルにまで調査範囲を拡大するのに役立ちます。この最新版VRTが、新たに導き出された攻撃コンセプトに対する防御を強化したいと考える研究者や企業に影響を及ぼすことを楽しみにしています」

●参考情報
・バグクラウド・プラットフォームがどのようにして企業をサイバーリスクから守ることができるのか、詳細はhttps://www.bugcrowd.com/products/platform/ をご覧下さい。

・「セキュリティテストのためのAI脆弱性の定義と優先順位付け」も併せてご参照下さい。 https://www.bugcrowd.com/blog/defining-and-prioritizing-ai-vulnerabilities-for-security-testing/ 　

・バグクラウド創業者兼最高戦略責任者のCasey EllisとConductor AI創業者のZach Long氏が出席するウェビナー「AIの安全性とコンプライアンス：新しいAI攻撃対象領域のセキュリティ」 へのご参加は、下記URLよりご登録下さい。
https://www.bugcrowd.com/resources/webinar/ai-safety-compliance-securing-new-ai-attack-surface/

●バグクラウドについて
バグクラウドは、2012年以来、顧客や信頼できるエリートハッカー集団の創意工夫ならびに専門知識、およびデータとAIを活用した特許取得済みのSecurity Knowledge Platform(TM)を統合することで、企業が統制力を取り戻し、脅威に先んじて対応できるよう支援しています。当社のハッカー・ネットワークは、多様な専門知識を駆使して隠れた弱点を発見し、ゼロデイ・エクスプロイトに対しても、進化する脅威に迅速に対応します。卓越した拡張性と適応性により、当社のプラットフォームにおけるデータとAIを駆使したCrowdMatch(TM)テクノロジーは、顧客自身が展開するサイバー脅威との戦いに最適な人材を見つけます。当社は、脅威行為者を凌駕する最新のクラウドソーシング・セキュリティの新時代を創造することを目指しています。詳細は、当社ウェブサイト（https://www.bugcrowd.com ）、または当社ブログ（https://www.bugcrowd.com/blog/ ）をご覧ください。

*サンフランシスコに本社を置くバグクラウドは、Rally Ventures、Costanoa Ventures、Blackbird Ventures、Triangle Peak Partnersなどから支援を受けています。
*Bugcrowd、CrowdMatch、およびSecurity Knowledge Platform は、Bugcrowd Inc.およびその子会社の商標です。その他の商標、商号、サービスマーク、ロゴは各社に帰属します。

●報道関係のお問い合わせ先
Bugcrowd広報事務局
Email: ykawai@zonicgroup.com

以上

PR TIMESプレスリリース詳細へ