Syhunt

お知らせNEWS

  1. HOME
  2. -NEWS
  3. -Syhunt Hybrid 7.1.1更新情報(Shadow AI検出機能の追加)

Syhunt Hybrid 7.1.1更新情報(Shadow AI検出機能の追加)

Syhunt Hybrid 7.1.1では、DASTとSAST向けの「Shadow AI」検出機能を実装しました。

Shadow AI検出機能の追加

DAST(動的アプリケーションセキュリティテスト) および SAST(静的アプリケーションセキュリティテスト) による Shadow AI(シャドーAI)脅威の検出機能 が追加 されています。

「Shadow AI」とは、チャットボットや文章生成AIなどの人工知能機能が、適切な監視やセキュリティ管理、承認プロセスを経ずにアプリケーション内で利用されている状態のことを指します。

このような管理されていないAIコンポーネントは、 以下のような深刻なリスクを引き起こす可能性があります。

  • データ漏えい
  • プロンプトインジェクション攻撃
  • 予期しない動作や不正な処理

今回の新機能により、実行中のアプリケーションを分析しながら、これらのリスクを検出・対処できるようになりました。

SyhuntのShadow AI検出機能は、OpenAIやDeepSeekなど広く利用されているAIプラットフォームとの連携を識別できます。これらの利用状況を把握せずに運用した場合、本番環境においてセキュリティ脆弱性やコンプライアンス上の問題を引き起こす可能性があります。




◼︎DASTとSASTを統合した初のShadow AI検出機能

今回のリリースにより、Syhuntは、脆弱性診断市場初の動的解析(DAST)と静的解析(SAST)の両方を備えたハイブリッド型アプリケーションセキュリティスキャナー内で、Shadow AI検出機能できる製品となりました。

これにより、アプリケーションライフサイクル全体を通じて、隠れたAI利用や未承認のAI利用を包括的に検出することが可能になります。




◼︎先週発表したSASTによるShadow AI検出機能をさらに強化

今回の機能強化は、先週発表されたSASTによるShadow AI検出機能をさらに発展させたものになります。 SASTでは、アプリケーションのソースコードを解析し、OpenAI関連APIや DeepSeek関連API、その他の新興AIサービスAPIといったAI関連APIエンドポイントの利用を検出します。

これにより、アプリケーションのデプロイ前に、セキュリティ上またはコンプライアンス上のリスクとなり得るAI利用を特定できます。

AI検出機能をさらに強化

SASTによるShadow AI検出は、以下のプログラミング言語に対応しています。

対象言語
・C#
・Node.js
・Objective-C
・Swift
・Lua
・PHP
・Python
・Java
・Kotlin
・Ruby
・Dart
・Delphi



◼︎LLM向けセキュリティテスト分野での先駆的な取り組み

Shadow AI検出機能の提供は、Syhuntにとってもう一つの重要なマイルストーンに続く成果でもあります。

2024年5月27日、Syhuntは市場で初めて、LLM(大規模言語モデル)を活用したWebアプリケーションに対するクロスサイトスクリプティング(XSS)脆弱性検査を実装したDASTツールとなりました。

この技術革新は、LLM特有のセキュリティ課題に関するSyhunt独自の研究成果によって実現されたものです。その研究に基づき、LLM関連のXSS脆弱性を検出する専用チェック機能が開発され、製品へ組み込まれました。




AI時代のセキュリティ課題に対応する包括的なソリューション

Shadow AI検出機能の提供は、Syhuntにとってもう一つの重要なマイルストーンに続く成果でもあります。

AI時代のセキュリティ課題に対応する包括的なソリューション

Shadow AI検出におけるDASTとSASTの統合、そしてLLM向けセキュリティテストの先進的な取り組みにより、Syhunt HybridはAI技術の急速な普及によって生じる新たなセキュリティ課題へ対応する包括的なソリューションを提供します。

この二重のアプローチにより、ソースコードレベル、実行中アプリケーションレベルの両面からAI利用状況を検査し、未承認または安全性に問題のあるAI利用を特定できます。

その結果、開発ライフサイクル全体にわたり、組織のセキュリティ体制とガバナンスをより強固なものにします。





<今回の変更内容>

  • SAST分析によるShadow AI脅威の検出機能を追加
    • ターゲット設定画面にAIモデル設定を追加
  • DASTモジュールにShadow AI検出機能を追加
  • DASTにおいて、ターゲット設定画面で許可済みのAIモデルを指定した場合、そのAI利用はスキャン時にShadow AIとして報告されないよう改善
  • SASTでは、シャドウAIの検出はIgnore IDsで無視するか、.syhunt-ci.ymlで以下のキーを使用して無効にすることができます。options_disabled: shai
  • Web UIのターゲット設定において、「Use Depth limit」オプションが意図せず有効化される場合がある問題を修正
  • Linux版インストール時のポストインストールコマンドが、一部のLinuxディストリビューションで正常に動作しない問題を修正
  • Shadow AI関連テキスト翻訳が完了