論文の概要: Constitutional Spec-Driven Development: Enforcing Security by Construction in AI-Assisted Code Generation
- arxiv url: http://arxiv.org/abs/2602.02584v1
- Date: Sat, 31 Jan 2026 19:08:16 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-02-04 18:37:14.955897
- Title: Constitutional Spec-Driven Development: Enforcing Security by Construction in AI-Assisted Code Generation
- Title(参考訳): 構成仕様駆動開発:AI支援コード生成における構築によるセキュリティ強化
- Authors: Srinivas Rao Marri,
- Abstract要約: AIによる"バイブコーディング"は、迅速なソフトウェア開発を可能にするが、重大なセキュリティリスクをもたらす。
憲法仕様駆動開発(Constitutional Spec-Driven Development)は、非交渉可能なセキュリティ原則を仕様に組み込む方法論である。
憲法上の制約は、制約のないAI生成と比較してセキュリティ上の欠陥を73%削減することを示す。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: The proliferation of AI-assisted "vibe coding" enables rapid software development but introduces significant security risks, as Large Language Models (LLMs) prioritize functional correctness over security. We present Constitutional Spec-Driven Development, a methodology that embeds non-negotiable security principles into the specification layer, ensuring AI-generated code adheres to security requirements by construction rather than inspection. Our approach introduces a Constitution: a versioned, machine-readable document encoding security constraints derived from Common Weakness Enumeration (CWE)/MITRE Top 25 vulnerabilities and regulatory frameworks. We demonstrate the methodology through a banking microservices application, selected as a representative example domain due to its stringent regulatory and security requirements, implementing customer management, account operations, and transaction processing. The methodology itself is domain-agnostic. The implementation addresses 10 critical CWE vulnerabilities through constitutional constraints with full traceability from principles to code locations. Our case study shows that constitutional constraints reduce security defects by 73% compared to unconstrained AI generation while maintaining developer velocity. We contribute a formal framework for constitutional security, a complete development methodology, and empirical evidence that proactive security specification outperforms reactive security verification in AI-assisted development workflows.
- Abstract(参考訳): AIによる"バイブコーディング"の普及は、迅速なソフトウェア開発を可能にするが、LLM(Large Language Models)がセキュリティよりも機能的正しさを優先しているため、重大なセキュリティリスクが生じる。
我々は、非交渉可能なセキュリティ原則を仕様層に組み込んで、AI生成コードが検査よりも建設によるセキュリティ要件に準拠することを保証する、コンスティチューショナルスペック駆動開発(Constitutional Spec-Driven Development)という方法論を提示する。
当社のアプローチでは、Common Weakness Enumeration (CWE)/MITRE Top 25の脆弱性と規制フレームワークから派生したセキュリティ制約を符号化する、バージョン管理されたマシン可読なドキュメントを導入しています。
その厳格な規制とセキュリティ要件から,代表的なサンプルドメインとして選択された銀行マイクロサービスアプリケーションを通じて,顧客管理やアカウント操作,トランザクション処理を実装した方法論を実証する。
方法論自体はドメインに依存しない。
この実装は、10の重要なCWE脆弱性に、原則からコード位置への完全なトレーサビリティによる憲法上の制約を通じて対処する。
我々のケーススタディでは、開発者のベロシティを維持しながら、制約のないAI生成と比較して、憲法上の制約によりセキュリティ上の欠陥が73%減少することを示した。
我々は、立憲セキュリティのための正式なフレームワーク、完全な開発方法論、そしてAI支援開発ワークフローにおいて、積極的なセキュリティ仕様がリアクティブセキュリティ検証より優れているという実証的な証拠を寄贈する。
関連論文リスト
- SecureCAI: Injection-Resilient LLM Assistants for Cybersecurity Operations [0.0]
本稿では,SecureCAIについて紹介する。SecureCAIは,セキュリティに配慮したガードレールによって,憲法上のAI原則を拡張した新しい防御フレームワークである。
SecureCAIはベースラインモデルと比較して攻撃成功率を94.7%削減する。
論文 参考訳(メタデータ) (2026-01-12T18:59:45Z) - Governable AI: Provable Safety Under Extreme Threat Models [31.36879992618843]
我々は、従来の内部制約から外部に強制された構造コンプライアンスに移行するGAI(Governable AI)フレームワークを提案する。
GAIフレームワークは、シンプルで信頼性が高く、完全に決定論的で、強力で、柔軟性があり、汎用的なルール執行モジュール(REM)、ガバナンスルール、AIによる妥協やサブバージョンに対するエンドツーエンドの保護を提供する、統制可能なセキュアなスーパープラットフォーム(GSSP)で構成されている。
論文 参考訳(メタデータ) (2025-08-28T04:22:59Z) - Bridging the Mobile Trust Gap: A Zero Trust Framework for Consumer-Facing Applications [51.56484100374058]
本稿では,信頼できないユーザ制御環境で動作するモバイルアプリケーションを対象としたZero Trustモデルを提案する。
デザインサイエンスの方法論を用いて、この研究は、実行時の信頼の強制をサポートする6つのピラーフレームワークを導入した。
提案したモデルは,デプロイ前コントロールを越えてモバイルアプリケーションをセキュアにするための,実用的で標準に準拠したアプローチを提供する。
論文 参考訳(メタデータ) (2025-08-20T18:42:36Z) - Never Compromise to Vulnerabilities: A Comprehensive Survey on AI Governance [211.5823259429128]
本研究は,本質的セキュリティ,デリバティブ・セキュリティ,社会倫理の3つの柱を中心に構築された,技術的・社会的次元を統合した包括的枠組みを提案する。
我々は,(1)防衛が進化する脅威に対して失敗する一般化ギャップ,(2)現実世界のリスクを無視する不適切な評価プロトコル,(3)矛盾する監視につながる断片的な規制,の3つの課題を特定する。
私たちのフレームワークは、研究者、エンジニア、政策立案者に対して、堅牢でセキュアなだけでなく、倫理的に整合性があり、公的な信頼に値するAIシステムを開発するための実用的なガイダンスを提供します。
論文 参考訳(メタデータ) (2025-08-12T09:42:56Z) - Provably Secure Retrieval-Augmented Generation [7.412110686946628]
本稿では,RAG(Retrieval-Augmented Generation)システムのための,信頼性の高い最初のフレームワークを提案する。
我々のフレームワークは、検索したコンテンツとベクトル埋め込みの両方の二重保護を保証するために、プレストレージのフル暗号化方式を採用している。
論文 参考訳(メタデータ) (2025-08-01T21:37:16Z) - LLM Agents Should Employ Security Principles [60.03651084139836]
本稿では,大規模言語モデル(LLM)エージェントを大規模に展開する際には,情報セキュリティの確立した設計原則を採用するべきであることを論じる。
AgentSandboxは、エージェントのライフサイクル全体を通して保護を提供するために、これらのセキュリティ原則を組み込んだ概念的なフレームワークである。
論文 参考訳(メタデータ) (2025-05-29T21:39:08Z) - Privacy-Aware RAG: Secure and Isolated Knowledge Retrieval [7.412110686946628]
本稿では,RAGシステムを不正アクセスやデータ漏洩から保護するための高度な暗号化手法を提案する。
当社のアプローチでは、ストレージに先立ってテキストコンテンツとそれに対応する埋め込みの両方を暗号化し、すべてのデータがセキュアに暗号化されていることを保証します。
以上の結果から,RAGシステムの設計と展開に高度な暗号化技術を統合することにより,プライバシー保護を効果的に強化できることが示唆された。
論文 参考訳(メタデータ) (2025-03-17T07:45:05Z) - Position: Mind the Gap-the Growing Disconnect Between Established Vulnerability Disclosure and AI Security [56.219994752894294]
我々は、AIセキュリティレポートに既存のプロセスを適用することは、AIシステムの特徴的な特徴に対する根本的な欠点のために失敗する運命にあると主張している。
これらの欠点に対処する私たちの提案に基づき、AIセキュリティレポートへのアプローチと、新たなAIパラダイムであるAIエージェントが、AIセキュリティインシデント報告の進展をさらに強化する方法について論じる。
論文 参考訳(メタデータ) (2024-12-19T13:50:26Z) - Enhancing Security Control Production With Generative AI [2.869818284825133]
セキュリティコントロールは、リスクの低減、情報保護、セキュリティ規制の遵守を保証するために、クラウドベースのサービス用に設計されたメカニズムまたはポリシーである。
本稿では,ジェネレーティブAIを用いたセキュリティ制御の高速化について検討する。
大規模言語モデルとコンテキスト内学習を活用して,セキュリティコントロールの開発に要する時間を2~3日から1分未満に短縮する構造化フレームワークを提案する。
論文 参考訳(メタデータ) (2024-11-06T22:10:18Z) - A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。
本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。
実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
論文 参考訳(メタデータ) (2024-01-19T14:52:04Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。