Bleeping Computerは1月6日(米国時間)、「Are Copilot prompt injection flaws vulnerabilities or AI limits?」において、Microsoftとセキュリティ研究者との間でAIの脆弱性に対する姿勢に隔たりがみられると伝えた。

Microsoftはプロンプトインジェクション攻撃やサンドボックス関連の脆弱性に関するリスク評価に反論しており、脆弱性をどのように定義するかという基本的な部分で課題が浮き彫りになったという。

  • Are Copilot prompt injection flaws vulnerabilities or AI limits?

    Are Copilot prompt injection flaws vulnerabilities or AI limits?

研究者が指摘するAIの脆弱性

Bleeping Computerの調査に基づく、最近のMicrosoftが否定したAIの脆弱性は次のとおり。

Bleeping Computerはわかりやすい例として、2番目の「Copilotファイルアップロードタイプのポリシーバイパス(base64エンコード経由)」を取り上げている。これは制限された形式のファイルアップロードを、base64エンコードするだけで回避できる脆弱性とされる。

制限を回避できることから脆弱性と評価されており、別の研究者も同意する意見を述べている。しかしながら、Microsoftはサービスの対象外として取り上げなかったという。

これら問題については「入力検証が不十分なだけだ」と主張し、問題の本質が異なると評価する研究者も存在する。脆弱性であることに変わりはないが、個々の事例を細かく指摘して改善を求めるのは不適切としている。

Microsoftの主張と結論

Microsoftはこれら脆弱性の指摘について次のように述べ、同社の有効性基準を満たしていないことから対策の適用範囲外とみなしたという。

「セキュリティコミュニティが潜在的な問題の調査と報告してくださることに感謝します...この発見者は複数の事例を報告していますが、当社の公開基準に基づき範囲外と評価されました。範囲外となる理由はいくつかあり、セキュリティ境界が侵害されていない場合、影響が発見者の実行環境に限定されている場合、または脆弱性とみなされない低特権情報が提供される場合などが含まれます」

つまり同社は、具体的なエクスプロイトを提示できなければ、それは脆弱性ではなくAIの特性上避けられない挙動だと表明している。しかしながら、リスクは存在しており対策すべき課題であることに変わりはない。

現時点で、落とし所はなし

Bleeping Computerは一連の議論を分析し、問題は「定義と視点」に帰結すると結論づけている。研究者はリスクが存在すれば脆弱性との立場だが、Microsoftはセキュリティ境界を明確に破らなければ脆弱性ではないとの立場だ。

Microsoftと言えども開発リソースは限られており、研究者が指摘する個々の課題すべてに対応することは難しい。ユーザーを侵害する課題でなければ脆弱性と評価して即応できないとの主張は理解できる。一方で研究者の主張も間違っているわけではない。

この論争の落とし所は見いだせておらず、企業のAI導入が進むにつれて議論が拡大するだろうと予想されている。