LLMs +セキュリティ = 問題

我々は、AIを用いて堅牢なコードを作成することについての現行の「火を撃つための火を撃つ」のアプローチ、「確率的でAIベースのチェッククッカーまたは攻撃者を使用し、確率的に生成されたコードのセキュリティを保護する」というアプローチが、長期にわたるセキュリティバグに対処しないことを主張しています。 したがって、システムはゼロデイ攻撃の脆弱性に対しても容易には触れられず、それらの敵が資源的に豊富で長期的な戦略を持っている場合に発見されます。 神経形義母類的方法と形式法の組み合わせは原理的には魅力的ですが、我々はそのセット・コードの Workflow「vibe coding」というものとの関与に対して難しさを認識しています：一部の終端から一貫性のある検証パイプラインを使用している場合に、開発者はしばしば規格の確認、曖昧さの解決、そして失敗の裁定を求められます。この点には人間が在場する可能性があります、セキュリティは構築時に確立された保障を壊してしまう恐れがあります。 さらに我々は、コード生成中にセキュリティの制約を強制することでより強いセキュリティの保証を得たと主張します。 これは、分散型なスタイルのコードモデルの方向性において特に有望であり、そのアプロールがモジュラーで階層的なセキュリティ施行の自然な美しさを持っているためです。同時に低遅延生成の方法と一緒に構築時の一貫して保安のあるコードの生成にも関連する可能性があります。

arXiv:2602.08422v1 Announce Type: cross Abstract: We argue that when it comes to producing secure code with AI, the prevailing "fighting fire with fire" approach -- using probabilistic AI-based checkers or attackers to secure probabilistically generated code -- fails to address the long tail of security bugs. As a result, systems may remain exposed to zero-day vulnerabilities that can be discovered by better-resourced or more persistent adversaries. While neurosymbolic approaches that combine LLMs with formal methods are attractive in principle, we argue that they are difficult to reconcile with the "vibe coding" workflow common in LLM-assisted development: unless the end-to-end verification pipeline is fully automated, developers are repeatedly asked to validate specifications, resolve ambiguities, and adjudicate failures, making the human-in-the-loop a likely point of weakness, compromising secure-by-construction guarantees. In this paper we argue that stronger security guarantees can be obtained by enforcing security constraints during code generation (e.g., via constrained decoding), rather than relying solely on post-hoc detection and repair. This direction is particularly promising for diffusion-style code models, whose approach provides a natural elegant opportunity for modular, hierarchical security enforcement, allowing us to combine lower-latency generation techniques with generating secure-by-construction code.