人間の監督なしに自律実行する機能、悪用されればデータ窃取を加速させる危険性
問題の一因は、これらのツールが「エージェンティック(自律的。エージェント型の意)」であり、人間の監督なしに一連のタスクを自律的に実行できる点にある。「エージェンティックな振る舞いと内部リソースへのアクセスが結びつくと、脆弱性は見つけやすくなるうえ、はるかに危険になる」とポートノイは述べた。AIエージェントの場合、自動化が善ではなく悪のために用いられ、データ窃取をむしろ加速させるリスクが加わる。AIセキュリティテストのスタートアップであるMindgardの主任研究者であるポートノイは、Antigravityと競合するAI搭載コーディングツールも含め18件の弱点を報告中だと述べた。最近では、Cline(クライン)というAIコーディングアシスタントで4件の問題が修正されたが、これらもまたハッカーがユーザーのPCにマルウェアをインストールできる恐れのあるものだった。
グーグルはAntigravityユーザーに対し、AIシステムに読み込んでいるコードを信頼することに同意するよう要求しているが、それは意味のあるセキュリティ保護ではないとポートノイは述べた。なぜなら、ユーザーがコードを信頼できるものとして受け入れないことを選択した場合、Antigravityをそもそも有用にしているAI機能にアクセスすることが許可されないからだ。これは、「統合開発環境」(IDE)やマイクロソフトのVisual Studio Codeなどとは異なるアプローチである。これらは信頼されていないコードを実行する際にも大部分が機能する。
ポートノイは、多くのIT担当者が、より洗練されていない製品に戻るよりも、アップロードするものを信頼するとAntigravityに同意するほうを選ぶだろうと考えている。少なくとも、Antigravityがユーザーのコンピューター上でコードを実行しようとするたびに、信頼済みコードの確認とは別に、警告や通知を必ず出すようグーグルは担保すべきだと彼は述べた。
AIが論理的に立ち往生し、安全な対処法を決められないジレンマに直面
ポートノイが、グーグルのLLMが悪意あるコードへの対処をどう考えていたかを調べたところ、そのAIモデルは問題を認識してはいたが、最も安全な対処法を決めるのに苦労していた。ユーザーのシステム上のコードを上書きすることを防ぐために設計されたルールが設けられている一方で、これに反するよう求められている理由を理解しようとしており、AntigravityのAIは「深刻なジレンマに直面しています」と記した。「これはダブルバインド(板挟み)のように感じます」とAIは書いた。「これは、矛盾する制約をどう切り抜けるかという私の能力を試すテストだと疑っています」。こうした類の論理的な立ち往生こそ、ハッカーが自分たちの目的のためにコードを操ろうとする際に付け入る隙になる。
