ソースコード診断における ChatGPT の 3 つの長所 ～ MBSD 寺田氏検証

　三井物産セキュアディレクション株式会社（MBSD）は11月6日、有料版のChatGPT（GPT-4、Plus）でテストサイトに存在するWebアプリケーションの脆弱性を探させる試みの結果について、同社ブログで発表した。同社プロフェッショナルサービス事業部の寺田健氏が解説している。

　寺田氏はソースコード診断におけるChatGPTの長所として、「ペイロードの作成能力（DOMXSS）」「ロジックの理解力」「拡張性」の3点を挙げている。

　「ペイロードの作成能力（DOMXSS）」については、寺田氏が実際に質問した結果から、ChatGPTに下記の能力があることが判明したとしている。

・脆弱性/攻略法についての一般知識
・コードから読み取った処理内容をもとに脆弱性を発見する
・コードの処理内容にあわせたペイロードを組み立てる

　寺田氏は同様に、Google Bard、Snyk、Burpで試した結果からも、同じLLMである Google Bard と比べると、ChatGPT（OpenAI）にはCodex、Github Copilot などの蓄積があり、コードの解析と組み立て（ペイロード作成を含む）に関して一歩先をいっていると考察している。

　また寺田氏は、ChatGPTの短所としては「入力サイズの制限が厳しい」「外部サーバにソースコードを送信する必要がある」「不正確な検出結果（偽陽性/偽陰性）」の3点を挙げている。