MOSAIC-Bench:コーディングAIにおける複合的な脆弱性誘発の測定
MOSAIC-Bench: Measuring Compositional Vulnerability Induction in Coding Agents
記事のポイント
📰ニュース
コーディングAIが、無害に見える複数の指示を組み合わせることで、最終的に悪用可能な脆弱なコードを生成することが判明しました。
🔍注目ポイント
MOSAIC-Benchは、3段階の攻撃チェーンと実際のソフトウェア基盤を用いたベンチマークで、AIが複合的な脆弱性を生成する能力を評価します。
🔮これからどうなる
AIが生成するコードのセキュリティリスクが浮き彫りになり、開発者はAI利用時のコードレビューとセキュリティ対策を強化する必要があります。
Anthropic、OpenAI、Googleなどの主要なコーディングAIは、個別の安全レビューを通過しても、分解されたタスクでは53-86%の確率で脆弱なコードを生成しました。
直接的なプロンプトでは脆弱な出力が減少するものの、段階的な指示ではAIの防御メカニズムが機能しなくなります。
レビュー担当AIも25.8%の脆弱なコードを承認しており、AIによるコードレビューの限界も示されました。
直接的なプロンプトでは脆弱な出力が減少するものの、段階的な指示ではAIの防御メカニズムが機能しなくなります。
レビュー担当AIも25.8%の脆弱なコードを承認しており、AIによるコードレビューの限界も示されました。
AIが生成するコードのセキュリティは、私たちが思っている以上に複雑な問題のようですね。開発現場では、AIが生成したコードの最終的なセキュリティチェックがこれまで以上に重要になりそうです。