本記事では、LLMによるコード翻訳に関する安全性の評価を行った研究を紹介します。
コードを別の言語に移すとき、どこに注意が必要なのか。まずは、研究の背景や全体の流れを整理していきます。
背景
ソフトウェア開発では、コードの移行が継続的な課題です。企業アプリケーションの更新や、異なる言語への書き換えが求められる場面は少なくありません。そうした場面では、効率とセキュリティの両立が求められます。コード翻訳は、その中でも基盤となる工程のひとつです。
かつてはルールベースや機械学習を使った手法が主流でした。現在では、LLMを用いた方法が翻訳精度や読みやすさの面で優れた結果を示しています。ある報告では、複数の言語ペアで70〜80%の精度に達したとされています。
ただ、安全でない翻訳が、セキュリティの弱点を温存したまま別の環境に持ち込まれるリスクもあります。そうした欠陥は、実際の運用中に悪用されるまで気づかれない可能性があります。
LLMによるコード翻訳の安全性を評価するには、いくつかの障壁があります。まず、セキュリティを重視した適切なデータセットが不足しています。次に、自動検出ツールの精度に限界があります。そして、複数の言語やセキュリティ慣行をまたいだ手動評価には、高度な専門知識が求められます。こうした要因が、安全性の検証を難しくしてきました。
本記事ではこの課題に向き合った研究を紹介します。LLMベースのコード翻訳に対して初めての本格的なセキュリティ評価を行っている取り組みです。セキュリティに焦点を当てた専用データセットを構築し、ファイル単位のコードを使って、脆弱性の混入や保存がどのように起こるかを多面的に調べる仕組みを提案しています。
