5月15日、Metabaseが「Welcome to the strip mining era of open source security」と題した記事を公開した。この記事では、LLMによる自動化されたセキュリティ脆弱性スキャンがオープンソースプロジェクトに与える劇的な影響について詳しく紹介されている。以下に、その内容を紹介する。

脆弱性報告が10倍に急増した現実

Metabaseでは今年初めから脆弱性報告が劇的に増加している。従来は月平均10件だった報告が、1月以降は週平均10件に急増した。さらに重要なのは、報告の質も向上している点だ。これまでは大半が誤検知や些細な問題だったが、現在は多くが実際の脆弱性であり、しかも報告書がMarkdown形式でLLM生成らしい特徴を持っているという。

この変化の背景にあるのは、LLMを活用した自動コードスキャン技術の急激な進歩である。ClaudeやOpenAIの新しいセキュリティ機能など、複数のベンダーが参入し、コードベース全体を効率的にスキャンできるようになった。2024年後半から、GPT-4やClaude 3.5 Sonnetなどの大規模言語モデルがコード理解能力を大幅に向上させ、従来の静的解析ツールでは発見困難だった複雑なセキュリティ問題も検出可能になっている。

「ストリップマイニング」時代の到来

記事は現在の状況を「ストリップマイニング」と表現している。これまでのセキュリティ研究は以下の2つのスタイルに分かれていた：

• 表面的な大量スキャン: OWASP ZAPなどの従来スキャナーによる自動検査（大半が誤検知）
• 動機に基づく深掘り調査: 専門知識を持つ研究者による集中的な調査

しかし現在は、誰でもAPIトークンを消費すれば、公開されているコードベース全体を効率的にスキャンできる時代になった。コード理解能力を持つAIエージェントが進歩し続ける限り、より深層の脆弱性が段階的に発見されていくことになる。

ビジネスモデルとしての脆弱性発見

この状況は新しいビジネスモデルを生み出している。多くのセキュリティ研究者が以下のような手順でSaaS事業を展開している：

1. Claude/GPT-4などをラップしてスキャンサービス化
2. 商用オープンソースリポジトリを大量スキャン
3. 発見した脆弱性を報告し、同時に自社スキャンサービスを宣伝

記事によると、現在約1000のこうしたSaaS提供者が存在するという。幸い、倫理的な研究と商業的インセンティブが一致している場合が多いが、非商用OSSプロジェクトにとっては厳しい状況だ。

OSS開発者への深刻な影響

長期的には、第三者がトークンを消費して脆弱性を発見してくれることで、ソフトウェア全体の安全性が向上する。しかし短期的な影響は深刻だ：

• 公開された脆弱性は即座に「野生化」する: 一人の研究者が発見した脆弱性は、他の研究者も容易に発見できる
• 週末の計画もプロジェクト優先度も関係なく、即座の対応が必要
• クローズドソース開発者は自分のペースで修正できるが、OSS開発者は常に反応的モードで生きることになる

この状況を受けて、オープンソースのスケジューリングプラットフォームCal.comが2024年にクローズドソースに移行するなど、商用OSS企業の中には方針転換を図るところも出てきている。

開発者とユーザーが実装すべき対策

OSS開発者向け

記事は開発者に向けて具体的な対策を提示している：

• 可能な限り多くのスキャンツールを試用する（Snyk、GitHub Advanced Securityなど）
• 頻繁なセキュリティパッチ体制を構築する
• どんな小さな脆弱性も即座に修正する
• システムのアップグレード・パッチ適用を容易にする

OSSユーザー向けの5つの重要な対策

1. 頻繁なアップグレード予算を確保する — 従来の年1〜2回のメジャーアップグレードから、月次・週次での小規模更新に移行

2. 全OSS依存関係の監視とピン留めを実施し、常時アップグレードに慣れる — DependabotやRenovateの活用

3. 多層防御を実践し、分離レイヤーを構築する — 単一のOSSコンポーネントに依存しない設計

4. ログ監視・可観測性を強化し、誰かが常にログを監視する体制を作る

5. 最小権限原則を徹底し、全ソフトウェアの認証情報を最小限に制限する

記事は「本来ずっとやるべきだったことを、より積極的なレベルで実行する」ことが重要だと強調している。

業界への長期的影響

この変化により、現在コード内に存在するバグが大量に発見されることになる。初期の混乱期間を乗り越えれば、既存コードも新規作成コードも、より安全になるはずだ。

しかし記事は率直に述べている：「そこに辿り着くまでがしんどい」。OSS開発者は当面の間、従来以上に迅速な対応を求められることになる。

詳細はWelcome to the strip mining era of open source securityを参照していただきたい。