MicrosoftがAIで月例更新の修正件数を拡大

更新方針の変更

AIで脆弱性を早期特定
月例更新の修正件数が増加

背景の脅威

攻撃者もAIで弱点を悪用
研究者が高深刻度の脆弱性を発見

品質確保策

SDLをAI攻撃向けに更新
修正生成にエージェント活用
コードレビュー人間が担保
詳細を読む

Microsoftは7月9日のブログ投稿で、Windowsの月例セキュリティ更新プログラムにAIを本格導入すると発表しました。AIによって潜在的な脆弱性を早期に特定できるようになり、各リリースに含める修正の件数が増える見通しです。いわゆる「パッチチューズデー」の規模が、今後大きくなっていきます。

背景には、攻撃者側でのAI活用の広がりがあります。初心者のハッカーでもAIを使って脆弱性を素早く悪用する事例が増えており、研究者側もAIで問題を高速に発見しています。その結果、5月にほぼ全てのLinuxに影響した「Copy Fail」のような高深刻度の脆弱性が頻発するようになりました。

AIによる脆弱性発見の威力は、業界全体で示されています。Anthropicは今年発表した「Claude Mythos」モデルが、主要OSすべてで高深刻度の脆弱性を既に発見したと主張しました。攻撃と防御の双方でAIが使われる状況が、Microsoftの方針転換を後押ししています。

Microsoftは開発プロセスの見直しも進めます。セキュア開発ライフサイクル(SDL)を更新し、AIを悪用した攻撃手法や侵入経路を明示的に考慮するようにします。さらにWindows専用ツールやエージェント型の仕組みに投資し、修正の生成と検証をAIで支援します。

ただし同社は、速度を優先して品質を犠牲にしない姿勢を強調しています。更新の品質を落とさないよう投資すると述べ、コードレビューでは人間が関与し続けるとしています。開発者が発見内容を検証し、リスクに基づいて更新を判断する体制は維持されます。