こんにちは、GMO Flatt Securityの小島です。
2025年4月7日(月)、GMO Flatt Securityは、セキュリティ診断AIエージェント『Takumi』のリリースを記念し、品川区大崎のファインディ株式会社様のイベントスペースにて、『セキュリティ診断AIエージェント「Takumi」世界最速体験会』を開催いたしました。
この記事はそのイベントレポートとして、ご参加いただいた方のXの投稿とイベントの写真を交えながらイベントを振り返っていきたいと思います。
セキュリティ診断AIエージェント「Takumi」について
セキュリティ診断AIエージェント「Takumi」は、Slackでいつでもセキュリティ診断を頼めるAIです。ソースコードや仕様を理解し、自律的に診断します。
例えば、以下のようなセキュリティ業務を自律的にこなすことができます。
- Dependabotのトリアージ
- CVEや既知の脆弱性の影響調査
- 設計のセキュリティレビュー
- アプリケーションロジック固有の脆弱性の診断
…
また、GMO Flatt Securityの脆弱性リサーチプロジェクトの中でもTakumiはセキュリティリサーチャーとして調査を行っており、既にVimやNext.js等の著名OSSに10件以上の0-day脆弱性を発見しています。
下記にご登録いただいた方から優先して順次ご利用開始の招待をお送りしておりますので、ぜひご登録ください。
「Takumi」世界最速体験会について
「Takumi」世界最速体験会は、その名の通り「Takumi」を体験できる初めての公開イベントとして企画させていただきました。
ありがたいことに当初の想定を大幅に上回るお申し込みをいただき、急遽2倍程の増枠しての開催となりました。今回は会場のキャパシティの都合で心苦しくも上限を定めさせていただきましたが、Takumiに関するイベントは今後も定期的に開催していこうと考えています。
そして当日は約60名のセキュリティエンジニア、SRE、開発リーダー、CTOの皆様にご参加いただき、AIによるセキュリティ診断の未来を体感いただく、熱気あふれるイベントとなりました。 当日のイベントは以下の内容で進行しました。
- Takumiの概要とGMO Flatt Securityでの利用事例紹介
- Takumi の体験&未来会議(グループディスカッション)
- 懇親会
「Takumi」の概要と開発背景についてのセッション
イベント冒頭、会場をご提供いただいたファインディ株式会社様よりご挨拶をいただいた後、弊社取締役CTOの米内 (@lmt_swallow)より、Takumiの概要と開発背景、社内での活用事例についてお話ししました。
中でも、参加者から特に高い関心が寄せられたのは、話題の汎用開発支援AIエージェント「Devin」と、セキュリティ診断に特化した「Takumi」の違いと使い分けについてです。
セッションではDevinが広範な開発タスクを迅速にこなすことを目指すのに対し、Takumiはセキュリティ診断という専門領域に特化し、より深く調査・分析を行い、精度の高い結果を提供することに重点を置いていると説明。コード読解能力や応答速度など、それぞれの特性に応じたAIエージェントの違いを紹介しました。
Devinとの比較、感覚値ではDevinと同じくらいの時間単価だけど目指す優秀さの方向性が違うのが興味深い #Takumi世界最速
— kokumօtօ (@__kokumoto) April 7, 2025
Takumiくんが得意そうな領域
— ふじたーな (@tanafuji_sec) April 7, 2025
- 雇用した時点でセキュリティ業務にチューニングされていて賢い
- 未知の脆弱性を含むセキュアコーディングのコードレビューが得意
- セキュリティに関する考察とトリアージ
- 業務ロジックを考慮した脆弱性診断
- 非定型セキュリティ業務になんでも活用#Takumi世界最速
さらに、GMO Flatt Securityのリサーチプロジェクトとして、Takumiが既に社内で活用されている事例についてもお話ししました。世界中の著名なOSSの未知の脆弱性を複数発見し、CVE番号が採番されている実績も紹介され、その能力の高さに参加者の期待が集まりました。
#Takumi世界最速
— sigma (@sigma5736394841) April 7, 2025
未知の脆弱性見つけられるのかすげー
体験セッションとグループディスカッション
セッション後半では、Takumiの実際のデモンストレーションと、参加者による体験セッションを行いました。
デモでは、Slackを通じてTakumiに自然言語で指示を与えるだけで、GitHubリポジトリをクローンし、脆弱性や実装上の問題点を指摘したり、ファイル構成や役割を分析したりする様子を紹介。従来の脆弱性診断ツールとは異なり、対話形式で診断を進められる点や、必要に応じて軌道修正や進捗確認ができる柔軟性に、多くの参加者が注目しました。
アンケートでも「実際にTakumiが動いているところを見られたのが非常に印象的だった」「自然言語で指示できるインターフェースは画期的」といったコメントが多数寄せられました。
進捗報告もできるTakumiくんから社会人力高い #Takumi世界最速 pic.twitter.com/o6z6thUFX8
— ふじたーな (@tanafuji_sec) April 7, 2025
詳細レポートで直し方も教えてくれるらしい #Takumi世界最速 pic.twitter.com/hkxcbZ6fmc
— Kaoru (@bariero) April 7, 2025
体験セッションはグループディスカッション形式で実施。参加者は4つのグループに分かれ、それぞれのテーマに沿ってTakumiの活用方法を探りました。
- グループA: コードセキュリティ診断
- お題: 新規Webアプリケーションの脆弱性を効率的に発見する方法
- Takumiへの依頼例: 「このJavaScriptコードの潜在的なXSS脆弱性を特定してください」
- グループB: インフラセキュリティ強化
- お題: クラウド環境の設定ミスを効率的に発見する方法
- Takumiへの依頼例: 「このAWS CloudFormationテンプレートのセキュリティリスクを分析してください」
- グループC: セキュリティインシデント対応
- お題: インシデント発生時のAIエージェントの活用方法
- Takumiへの依頼例: 「このログデータから不審なアクセスパターンを特定してください」
- グループD: セキュリティトレーニング
- お題: 開発者向けセキュリティ教育におけるAIの活用
- Takumiへの依頼例: 「このコードの脆弱性を説明し、修正方法を教育的に解説してください」
グループディスカッション後は業務への活用方法など様々なアイディアを発表しました。
すべての箇所が列挙できているかはわかりませんが、Takumiが挙げてきたidパラメータへのインジェクション可能性は正しそうでした。
— rikoteki (@r1k0t3k1) April 8, 2025
ついでにAJAXの戻りをエスケープなしでhtml()に突っ込んでるのも指摘してきてて賢い。#Takumi世界最速 https://t.co/Qd0Ad3ajo4 pic.twitter.com/5UhpqGWBoq
#Takumi世界最速 卓のテーマがログ解析だったのでいろいろログ解析をお願いしてるんだけど、WEBのログはわりとやってくれそう? pic.twitter.com/70RzYBfv6x
— 野溝のみぞう (@nomizooone) April 7, 2025
「おっと、大変だ!」:kawaii:
— YukiWaki (@ukwksk) April 7, 2025
ぱっと見ちゃんとやばそうなの拾ってくれてそう#Takumi世界最速 pic.twitter.com/vrLtp98e9b
懇親会と参加者の声
イベント後半の懇親会では、軽食とドリンクを片手に、参加者同士や弊社エンジニアとの間で活発な交流が行われました。セキュリティエンジニア、CTO、エンジニアリングマネージャーなど、多様なバックグラウンドを持つ参加者が一堂に会し、「開発組織におけるAI活用」に関する悩みや課題、期待などを共有する貴重な機会となりました。
イベント後のアンケートでは、参加者の皆様から様々なご意見やご感想をいただきました。特に多かったのは、
- 「脆弱性診断の効率化・自動化に大きく貢献しそう」
- 「セキュリティ専門家がいないチームでも、一定レベルの診断が可能になるのでは」
- 「開発の初期段階からセキュリティを組み込む助けになる」
- 「誤検知の精度や、より複雑な脆弱性への対応能力をより試してみたい」
といった声でした。皆様からいただいた貴重なご意見は、今後のTakumiの開発に活かしてまいります。
謝辞と今後の展望
今回のイベントを通じて、多くのエンジニアの皆様に、セキュリティ診断業務におけるAIエージェント活用の大きな可能性を実感していただけたなら幸いです。Takumiは、GMO Flatt Securityのセキュリティ専門家の知見とAIの能力を融合させることで、より安全なソフトウェア開発の実現を目指しています。
最後になりますが、ご多忙の中ご参加いただいた皆様、そして会場をご提供くださったファインディ株式会社様に、心より御礼申し上げます。
次回イベントのご案内
来る2024年4月22日(火) 12:00〜13:00に、オンラインにて次回イベント『AIエージェント対決!Devinの堅牢開発 vs Takumiの脆弱性診断【矛・盾】』を開催いたします。
本セッションでは、話題のAIソフトウェアエンジニア「Devin」とセキュリティ診断 AI エージェント「Takumi」を【矛と盾】に見立て、それぞれの能力を比較検証することで、開発組織における複数のAIエージェントの活用について考察します。 詳細・お申し込みは以下のconnpassページをご覧ください。