私立ずんだもん女学園放送部 podcast 20251031
内容紹介
Introducing Aardvark: OpenAI’s agentic security researcher、AI エージェント時代のリスク対策 : 認証・認可をあらためて学ぶ、【プロンプトから生まれる映像体験】Google AI Agent Summit 25 を彩った Veo のクリエイティブ
出演者
youtube版(スライド付き)
関連リンク
OpenAIは、GPT-5を搭載した新しいAIエージェント「Aardvark」を発表しました。これは、ソフトウェアのセキュリティ脆弱性を自動で見つけて修正を支援する画期的なツールです。
現代のソフトウェア開発では、毎年何万もの新しい脆弱性が見つかり、開発者は常にその対策に追われています。Aardvarkは、この「防御側」が優位に立てるように設計されました。人間のセキュリティ研究者のようにコードを読み、分析し、テストを行い、ツールを駆使することで、脆弱性を大規模に特定し、対処します。
Aardvarkの主な機能は以下の通りです。
- 分析: リポジトリ全体のコードを分析し、プロジェクトのセキュリティ目標や設計を理解します。
- コミットスキャン: 新しいコードの変更が加えられると、すぐにその変更をスキャンして脆弱性をチェックします。過去の履歴も分析できます。
- 検証: 見つけた可能性のある脆弱性が実際に悪用できるか、安全な隔離環境(サンドボックス)でテストして確認します。
- パッチ提案: 脆弱性が確認されたら、OpenAIのCodexと連携して修正パッチを生成し、人間がレビューしてワンクリックで適用できるように提案します。
Aardvarkは、従来のセキュリティツールとは異なり、AIの推論能力を活用してコードの挙動を深く理解します。GitHubなどの開発ツールや既存のワークフローとスムーズに連携し、開発スピードを落とすことなく、具体的で役立つセキュリティ情報を提供します。セキュリティ問題だけでなく、ロジックのミスやプライバシーに関するバグなども発見できるとのことです。
すでにOpenAI内部や外部パートナーのプロジェクトで数ヶ月間稼働しており、重要な脆弱性を発見し、高い検出率を示しています。特に、オープンソースプロジェクトでは10件の脆弱性がCommon Vulnerabilities and Exposures (CVE) 識別子を取得しました。OpenAIは、一部の非商用オープンソースプロジェクトに対して、無料でスキャンを提供し、オープンソースエコシステムのセキュリティ向上にも貢献していく方針です。
ソフトウェアの脆弱性は、ビジネスや社会のインフラにとって大きなリスクとなります。Aardvarkは、コードが進化するにつれて継続的に保護を提供することで、イノベーションを妨げることなくセキュリティを強化する「防御者優先」の新しいモデルを示しています。現在はプライベートベータ版として一部のパートナーに提供されており、今後さらに広く利用できるようになる予定です。
引用元: https://openai.com/index/introducing-aardvark
AIエージェントが「目的を与えれば自律的にタスクを完遂する」時代が到来し、セキュリティ、特に「認証」と「認可」の重要性が増しています。AIエージェントがあなたの代理で社内ツールや機密情報を扱うようになるため、悪意ある第三者に利用された際の被害は甚大です。そこで、「誰が」「何を」「どれだけ」実行したかを追跡できる仕組みが不可欠になります。
従来のシステムでは想定されなかったAIエージェント独自のリスクとして「意図しない過剰な権限でツールを操作してしまう可能性(Excessive agency)」があります。これは、AIがユーザーの指示を解釈し、自律的に外部ツールを呼び出すことで発生します。このリスクに対処するため、AWSのベストプラクティスであるGenerative AI Lensでも言及されています。
リスク対策をしっかり行うことで、利用状況のデータに基づいた改善、コスト管理の精度向上、監査対応の効率化、そして新しいツール導入時の安全確保といった多くのメリットが得られます。
AIエージェントに適切な権限を与えるには、「認証情報(パスワードなど)を直接渡さずに、必要な範囲だけアクセスを許可する」仕組みが必要です。これを実現するのが「OAuth(オーオース)」という技術です。OAuthでは、ユーザーが一度「このAIエージェントに、この範囲の作業を許可します」と承認すると、AIエージェントは期限付きの「アクセストークン」を使ってその範囲内でのみツールを利用できます。これにより、AIエージェントにパスワードを教える必要がなく、安全に代理作業をさせることが可能です。
Amazon Bedrock AgentCoreは、このようなAIエージェントのセキュリティ対策を効率的かつ安全に実装するためのAWSのマネージドサービスです。
- AgentCore Identity:ユーザーがエージェントを使う際の認証・認可(Inbound Auth)や、エージェントが外部ツールを使う際の認可(Outbound Auth)をサポートします。Amazon Cognitoなどの既存の認証プロバイダーと連携し、必要な認証情報を代わりに取得してくれます。取得した情報は「Token Vault」に安全に保管され、再利用も可能です。
- AgentCore Observability:AIエージェントの行動記録を詳細に収集し、監視できます。誰がいつ、どのようなツールを使ったか、認証が成功したか失敗したかなどを追跡できるため、不正利用の早期発見やトラブルシューティングに役立ちます。
AIエージェントの安全な社会実装には、こうしたセキュリティ対策が欠かせません。Amazon Bedrock AgentCoreを活用すれば、面倒に思える認証・認可の実装や行動記録の管理も手軽に行えるため、ぜひ積極的に取り組んでいきましょう。
引用元: https://zenn.dev/aws_japan/articles/f1a0549c8e533a
皆さん、こんにちは!Google AI Agent Summit ‘25という、AIエージェントの最先端を紹介する大きなイベントが開催され、その中で流れる印象的な映像が、Googleの生成AIモデル「Veo(ヴェオ)」によって作られたことが紹介されました。AIがこのような大規模イベントのクリエイティブな部分、具体的には幕間映像やキービジュアルなどを手掛けているというのは、AIの進化と可能性を強く感じさせるニュースですね。
このイベントで流れた映像は、「黒猫が歌っている!」とか「カピバラがかわいすぎる!」といった感想が聞こえてきそうな、個性豊かでユーモラスな動物たちのショートクリップでした。例えば、書斎で思索にふけるフクロウ教授、市場を敏捷に駆け抜けるキツネ泥棒、日本の新幹線を操縦するウサギ車掌、雪が降る中で気持ちよさそうに温泉につかるカピバラ、流れるような手つきで寿司を握るカワウソ職人、優しい表情で絵を描くリス画家、法廷で迫力満点に主張するブルドッグ弁護士、そしてディープなブルースを歌い上げる黒猫シンガーなど、まるで夢のような「もしもの世界」が生き生きと描かれています。
これらの映像は、すべて私たちが書く「プロンプト」、つまりAIへの具体的な指示文から生み出されました。記事には、それぞれのショート動画を生成するためにAIに与えられた英語のプロンプトが紹介されています。例えば、温泉のカピバラのプロンプトは「ASMR風の超クローズアップ動画。雪が穏やかに降る中、湯気の立つ温泉にうっとり浸かるカピバラ」といったように、カメラワークから情景、音響の指定まで、非常に詳細な描写が含まれています。AIにどんな言葉で、どれだけ具体的にイメージを伝えれば、こんなにも豊かで高品質な映像が生成できるのか、その表現力と可能性に驚かされます。
新人エンジニアの皆さんにとって、AIというとデータ処理や自動化、あるいはコード生成といったイメージが強いかもしれません。しかし、今回のようにAIが想像力豊かな映像コンテンツを生み出す力を持っていることを知ると、AIが活躍する分野の広さや、クリエイティブなパートナーとしての可能性に改めて気づかされるのではないでしょうか。私たちが書くプロンプトが、AIの創造性を引き出す鍵となるという点で、「プロンプトエンジニアリング」の重要性が示されています。
今回紹介された素晴らしいクリエイティブが、どのような企画やプロンプトを経て制作されたのか、その詳しい舞台裏は後日公開される予定です。AIを活用したコンテンツ制作のノウハウを知ることは、皆さんの今後のエンジニアリングやアイデア創出のヒントになるはずです。ぜひ、今後の情報にも注目してみてください。AIがもたらす創造的な未来を、私たちエンジニアがどのように形作っていけるのか、一緒に考えていきましょう!
引用元: https://note.com/google_gemini/n/nab6cdabcbe64
VOICEVOX:ずんだもん