自分のコードをAIに攻撃させたら"守り"が全部ザルだった

自分のコードをAIに攻撃させたら"守り"が全部ザルだった
ARANK

「セキュリティ、ちゃんとやってる？」この質問、正直めちゃくちゃ怖い。SQLインジェクション対策？　やってる。XSS対策？　エスケープしてる。CSRF？　トークン入れてる。——でも、「ちゃんと」って何だ？OWASPのチェックリストを上から順に潰して、ESLintのセキュリティプラグインを入れて、dependabotのアラートを処理して。やることはやっている。はずだった。自分のコードに自律型AIハッカーをけしかけるまでは。はじめにセキュリティは「そこそこ意識している」つもりだった。でも今は、コードを書くときの思考回路がまるっきり変わった。守る側の視点だけでコードを書いていた頃には、絶対に気づけなかったことがある。きっかけは、GitHub Trendingで爆発的に伸びていた「shannon」という自律型AIハッキングツールだった。1日で+3,000スター以上。AIエージェントが自律的にWebアプリの脆弱性を探索し、攻撃を試みるツールだ。「面白そう」と思って自分のサイドプロジェクトに向けて走らせた。結果、見えていた世界が完全にひっくり返った。セキュリティ対策、やってるはずなのに僕のサイドプロジェクトは、よくあるSaaS系のWebアプリだ。Next.js + Prisma + PostgreS…

zenn.dev 11 days ago

Open page

https://zenn.dev/smartvain/articles/ai-attacked-my-code-security-mostly-placebo