NSF AI助成 $150万：AIでオープンソース・クラウドの脆弱性を管理する「Safe-OSE」（Jetstream／Exosphere）

米国科学財団(NSF)は、AIでオープンソース・クラウドの脆弱性を管理する「Safe-OSE」プロジェクトに約150万ドル（$1,500,000）を交付した（NSF Award 2533181、プログラム：Safe-OSE〈Safety, Security, and Privacy of Open-Source Ecosystems〉、インディアナ州、2025年10月開始）。

抄録によれば、本プロジェクトは、クラウド上の重要な研究ツールを、AI（人工知能）でソフトウェアの脆弱性を検出・修正することにより、サイバー脅威からより安全にすることを狙う。対象は、広く使われている2つのオープンソース基盤——研究者が安全なクラウドシステムを構築するのを助ける「Jetstream Cloud」と、クラウド資源への使いやすいインターフェースを提供する「Exosphere」——である。両基盤をセキュリティ問題についてスキャンし、AIでリスクを分析・低減し、利用者が潜在的な問題を理解・対処するのを助けるツールを構築する。これにより研究者・クラウド運用者・科学コミュニティを支え、安全なクラウドコンピューティングにおける米国のリーダーシップ維持に資する。

具体的には、相互に関連する3つの活動を実行する。第一に、Jetstream Cloud・Exosphere・および利用者が定義した仮想マシン・コンテナ・Infrastructure as Code・Jetstream2上のコードリポジトリに対し、広範な脆弱性スキャンを行う。第二に、強化学習(reinforcement learning)とLLM(大規模言語モデル)に基づく脆弱性管理手法で、脆弱なソフトウェア構成要素の代替を提案し、脆弱性を最小化するソフトウェアを生成する。このAI支援の脆弱性管理は、利用者・時間枠・資産種別を考慮した文脈依存の結果、個別最適化された推奨、利用者の好みの学習といった点で、既存手法の課題を克服する。第三に、ExosphereのUIに、オプトインのスキャン結果とAI機能を組み込み、代替ライブラリの提案や再実装の生成などでOSS製品の脆弱性に自動的に対処できるようにする。これらの強化は、Jetstream2利用者が資源を確保する際のOSS資産の脆弱性対処を助け、商用クラウドの提供にも応用しうる。