本記事では、LLMエージェントによるコード生成の安全性についての調査報告を取り上げます。

初心者のエンジニアがコードレビューを行わずにそのままLLM生成コードを採用するケースが増えており、セキュリティ上のリスクが懸念されています。にもかかわらず、生成されたコードの安全性に関する検証は、十分に行われていません。

そこで、実在するオープンソースプロジェクトから抽出した200件の開発タスクを用いて、主要なLLMエージェントがどの程度安全なコードを生成できるのか検証されました。

背景

Vibe Codingは、開発者の生産性を大きく高める技術として注目を集めています。実際、最近の調査によると、開発者の約75%がすでにこの手法を導入しており、そのうち90%が「満足している」と回答しています。

また、AI開発の最前線に立つ企業でも、Vibe Codingの活用が進んでいます。たとえばAnthropicは、自社の本番環境においてこの手法を導入していることを公表しています。Vibe Codingはもはや実験的な技術ではなく、実務レベルで広く運用される開発スタイルとして定着しつつあります。

しかしその一方で、セキュリティに関する懸念も浮上しています。たとえば、生成されたコードにAPIキーが平文で書かれていたり、認証処理に脆弱性が含まれていたりするケースが複数報告されています。中には、そうした脆弱性を悪用され、実際に攻撃を受けた事例もあると伝えられています。

このような問題の背景には、生成されたコードを十分に確認せず、そのまま採用してしまう開発者の存在があります。経験の浅いエンジニアの場合、「動けば問題ない」と判断しがちで、セキュリティ上の欠陥を見逃してしまうリスクが高くなります。さらに、プログラミング経験が1年未満の初心者ほど、Vibe Codingに対してより楽観的な評価を持つ傾向があることも明らかになっています。

これまでにも、LLMが生成するコードの安全性評価はいくつか行われてきました。しかし、それらの多くは単一ファイルや関数レベルでの評価にとどまっており、現実の開発現場で扱うような、より複雑なプロジェクト全体を対象としたものではありません。

そのため、Vibe Codingの安全性を本質的に評価するために、より現実的で実践的な基準による検証が行われました。以下で詳しく紹介します。