極端に単純化すると、セキュリティを実装する側は「新たなセキュリティホールがないかを調査し続けながら、自分が知っているすべての攻撃手法に対策する」ことが本質だと思います。
一方、攻撃者側の本質は「たった1つのセキュリティホールを見つけ出し、理論的に突破する」ことにあるのではないでしょうか。
この非対称性を考えると、構造的には攻撃者側のほうが若干有利に見えます。守る側は1000の対策を講じても、1つの穴で崩れる可能性があるからです。
もちろん、セキュリティ対策の一部は既存のAPIやサービスによって提供されています。
そのため、多くの実装者は基盤部分を深く考えずとも一定水準の安全性を確保できるでしょう。
しかし最終的な責任は利用者側の設計や運用にも残ります。
では、AIの登場によってこの構図は変わるのでしょうか。
強力なAIは、攻撃に直接つながる情報の出力を抑制する設計がなされています。
そのため、攻撃者がAIの能力を最大限に引き出すことは難しい可能性があります。自作AIを用いたとしても、一般に大規模モデルほどの能力は持ちません。
一方で、防御側はAIを活用して「攻撃につながらない範囲での潜在的な問題点の指摘」や、「侵害後のログ分析や不審ファイルの検出」といった支援を受けられる可能性があります。
専門知識が十分でない人でも、一定の補助を得られるかもしれません。
ChatGPTを活用することで対応する側の平均的な能力が底上げされるのであれば、万一突破された後であっても、迅速かつ的確に対応できる精度は向上すると考えられます。
つまり、強力な武器が両者に渡されたとしても、攻撃側には出力制限があり、防御側は比較的自由に活用できるという非対称性が生まれている可能性があります。
もっとも、「攻撃につながる回答を控える」仕組みがどの程度有効なのかは明確ではありません。
また、AIをセキュリティ用途に使ったとしても網羅的ではないことを前提にする必要があります。
楽観的な考えですが、それでもなお、AIの存在によって、わずかでもセキュリティ側が有利になっているのであれば、それは歓迎すべき変化ではないかと思います。