GitHub Security LabのAI駆動型フレームワーク「Taskflow Agent」による脆弱性スキャンの手法

概要

GitHub Security Labが、LLMを活用して認可バイパスやIDORなどの高度な論理的脆弱性を高精度で自動検出するオープンソースフレームワーク「Taskflow Agent」を公開した。

詳細内容

GitHub Security Labは、大規模言語モデル（LLM）を利用してソースコードを自動監査するオープンソースのフレームワーク「Taskflow Agent」を発表しました。このツールは、従来の静的解析（SAST）では検出が困難なビジネスロジックの脆弱性や認可制御の不備を特定することに長けており、既に80件以上の高深刻度な脆弱性をオープンソースプロジェクトで発見しています。監査プロセスは、ハルシネーションを抑制するために「脅威モデリング」「脆弱性タイプの提案」「厳格な基準による詳細監査」の3段階に分割されたYAML形式のワークフロー（Taskflow）で制御されます。記事では、Rocket.Chatの認証バイパスやECサイトでの個人情報漏洩発見といった具体例を挙げ、LLMがコードの文脈と意図を理解する能力がセキュリティ監査において極めて有効であることを示しています。GitHub Copilotライセンスがあれば、Codespacesを利用して誰でも自分のリポジトリに対してこの高度な監査を実行可能です。

元記事を読む他のサマリーを見る