本記事では、LLMで繰り返しコードを改良する中でセキュリティ上の脆弱性がどう生まれていくのかを調べた研究を紹介します。

AIを使って少しずつコードを整えていく、というスタイルはすでに多くの現場で定着しつつありますが、その過程で安全性がどう変化するのかはあまり語られてきていません。そこで、どこでリスクが入り込むのかを丁寧に追跡しています。

日々の開発でAIを取り入れている方にとって、実務に引き寄せながら読める内容になっていると思います。

背景

いま多くの開発現場で、「コードを書く」という行為そのものが大きく変わり始めています。ChatGPTやGitHub Copilotをはじめとしたツールの登場を皮切りに、LLMを活用してコードを生成する手法が一気に広まりました。開発者の8割以上がすでに日常的にLLMを活用したコーディングを取り入れているとの報告もされており、GitHubのCEOも「遠からず、コードの8割をAIが書くようになる」と述べています。

こうした流れは、開発の生産性を高めるという期待とともに、セキュリティに対する懸念も呼び起こしています。実際、LLMが生成するコードにセキュリティ上の問題が含まれていることが、これまでの研究でも繰り返し指摘されてきました。

ただし、実務でのLLM活用は単純な「一発生成」ではありません。要するに多くの現場では、LLMの出力をそのまま使うのではなく、「ここをもっと速くして」「この機能を追加して」といったやり取りを何度も繰り返しながら、コードの改良や拡張を進めています。このような反復的なやり取りの中でセキュリティがどう変化するのかについては、ほとんど検証されてきていません。

本記事は、その見過ごされてきた部分に注目します。LLMとのやり取りを繰り返すことで、むしろ新たな脆弱性が生まれてしまうのではないか。とくに人間の介入がない状態では、その傾向が強まる可能性があるのではないか。そうした仮説を出発点として、実際にどのような変化が起きるのかを体系的に調べようとしている研究をもとに調査報告を紹介します。LLMを用いた開発のなかで、人間の判断がどこまで重要なのかを見極めていくのが目的です。

以下で詳しく見ていきましょう。