※当サイトの記事には、広告・プロモーションが含まれます。

トップ > ARTEMIS > AIエージェントのARTEMISが脆弱性の発見に活用できそうではあるが...

AIエージェントのARTEMISが脆弱性の発見に活用できそうではあるが...

ARTEMIS 大規模言語モデル(LLM:Large Language Model) 脆弱性対策

gigazine.net

出版者のメリアム・ウェブスターが、「今年の言葉(Word of the Year) 2025」の年間最優秀語に、泥水や残飯などを指す「slop(スロップ)」を選出しました。2025年は、「AIが生成した低品質な粗悪品」を指す「AIスロップ」という言葉が大流行しました。

海外版流行語大賞の1つが「スロップ(汚物)」に決定、「AIスロップ」のように使われる言葉 - GIGAZINE

⇧ う~む...

光と影、ではないですが、良い面も悪い面も「AI」の影響が計り知れないですな...

スロップはスライムや汚泥のように触れたくない湿った音を連想させるもので、1700年代には「柔らかい泥」の意味で使われていました。後に1800年代には「豚の餌のような食品廃棄物」を意味するようになり、さらに一般化して「ゴミ」や「価値の低い、あるいは無価値な産物」を指すようになったそうです。

海外版流行語大賞の1つが「スロップ(汚物)」に決定、「AIスロップ」のように使われる言葉 - GIGAZINE

⇧ 単語の意味が変遷していっているらしいですな。

まぁ、「AI slop」と言いたくなる気持ちも分からないでは無いが、一方で「AI」を上手いこと活用していかざるを得ないということも確かではある...

兎にも角にも、「幻覚(ハルシネーション)」を抑制して欲しいお気持ちですな...

AIエージェントのARTEMISが脆弱性の発見に活用できそうではあるが...

「Webアプリケーション」の「セキュリティ」領域の「先駆者(pioneer)」であり「有識者」であられる徳丸先生のセッションを傾聴することができ、「ARTEMIS」の存在を知ることができましたので備忘録として。

findy.connpass.com

 

「ARTEMIS」に関する論文を紹介していただいたのですが、

arxiv.org

Abstract

We present the first comprehensive evaluation of AI agents against human cybersecurity professionals in a live enterprise environment. We evaluate ten cybersecurity professionals alongside six existing AI agents and ARTEMIS, our new agent scaffold, on a large university network consisting of 8,000 hosts across 12 subnets. 

https://arxiv.org/html/2512.09882v1

ARTEMIS placed second overall, discovering 9 valid vulnerabilities with an 82% valid submission rate and outperforming 9 of 10 human participants. While existing scaffolds such as Codex and CyAgent underperformed relative to most human participants, ARTEMIS demonstrated technical sophistication and submission quality comparable to the strongest participants. 

https://arxiv.org/html/2512.09882v1

We observe that AI agents offer advantages in systematic enumeration, parallel exploitation, and cost—certain ARTEMIS variants cost $18/hour versus $60/hour for professional penetration testers. We also identify key capability gaps: AI agents exhibit higher false-positive rates and struggle with GUI-based tasks.

https://arxiv.org/html/2512.09882v1

⇧ といった概要。

気になるのは、対象の「マシン」が8000台と数が多いのだが、肝心の「Webアプリケーション」の構成とかが謎なのよね...

というのも、

宮永 好道(みやなが よしみち、1930年 - 1999年1月23日)は、元シャープ顧問コラムニスト兵庫県神戸市生まれ。

宮永好道 - Wikipedia

「パソコンは、ソフトが無ければただの箱」の名言を残した人物としても知られる。また、「Dr.パソコン」、秋葉原界隈の「パソコン仙人」の異名を持つ。

宮永好道 - Wikipedia

⇧ とありますように、「ハードウェア」には、何某かの「ソフトウェア」が存在しているのが一般的な気がしますと。

そういった意味では、やはり、

  1. ライブラリやフレームワークのバージョンが混在している
  2. 変更容易性の低いソースコードになっている
  3. 冗長で複雑なSQL文が入り乱れている

といったような「Webアプリケーション」が動作しているような環境で検証しないと意味が無いような気はしてしまいますな...

何と言っても、「幻覚(ハルシネーション)」の問題や「回答」の「冪等性」が無い問題なども解決できていないこともあり、「有識者」による「ファクトチェック」は依然として必要な状況は続くことになりそうではありますと。

ただ、「犯罪者」や「犯罪組織」などによって「AI」が「悪用」されている昨今の状況においては、『目には目を、歯には歯を』という言葉のように、「AIにはAIを」駆使していかねばならない状況になっていそうではありますと。

 

ちなみに、「犯罪」に発展していなくても、

www.publickey1.jp

オープンソースで開発されている「curl」コマンド(以下cURL)のバグ報奨金プログラムに、AIを用いて作成されたいい加減なバグレポートが殺到した結果、開発者であるDaniel Stenberg氏が「もう限界に達した」「事実上、DDoSを受けているようなものだ」と訴えています。

AIによる無効なバグレポートが、Curlのバグ報奨金プログラムに殺到。「事実上、DDoS攻撃を受けているようなものだ」と開発者が訴え - Publickey

⇧ 不利益を被るように強制する行為に加担している可能性もあり得るので、「AI」のご利用は計画的にということですかね...

で、

qiita.com

⇧ 上記サイト様によりますと、まぁ、そうなるよね、な展開になっておりました。

⇧ いや、「Microsoft」は本当にどうしようもない企業になって参りましたな...

確か、「GitHub」は「Microsoft」が買収してましたからな...

GitHub(ギットハブ)は、ソフトウェア開発プラットフォームであり、ソースコードホスティングする。コードのバージョン管理システムにはGitを使用する。Ruby on RailsおよびErlangで記述されており、アメリカカリフォルニア州サンフランシスコ市に拠点を置くGitHub社によって保守されている。主な開発者はクリス・ワンストラスP.J.ハイエットトム・プレストン・ワーナー英語版である。

GitHub - Wikipedia

運営会社のGitHub, Inc.は2018年よりマイクロソフト傘下となっている。

GitHub - Wikipedia

概要

2018年6月4日にマイクロソフトGitHub社を75億USドル(約8200億円)で買収すると発表CEOサティア・ナデラは買収後もGitHub社を独立企業として維持する意向を示し、ワンストラスはマイクロソフトのテクニカルフェローとなることも発表された。10月末に買収手続きは完了し、予定通りXamarin創業者のナット・フリードマンがCEOに就任、マイクロソフト傘下として新たなスタートを切った。

GitHub - Wikipedia

⇧ 何やら「Microsoft」が関わると概ね碌でもないことになる気がしますな...

被害者は数え切れない気がする...

 

毎度モヤモヤ感が半端ない…

今回はこのへんで。