論文の概要: VibeGuard: A Security Gate Framework for AI-Generated Code
- arxiv url: http://arxiv.org/abs/2604.01052v1
- Date: Wed, 01 Apr 2026 15:57:01 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-04-02 16:44:32.073696
- Title: VibeGuard: A Security Gate Framework for AI-Generated Code
- Title(参考訳): VibeGuard: AI生成コードのセキュリティゲートフレームワーク
- Authors: Ying Xie,
- Abstract要約: AnthropicのClaude Code CLIは、npmパッケージに59.8MBのソースマップファイルを出荷し、512,000行のプロプライエタリなTypeScriptを公開している。
われわれは、5つの盲点を狙うプレパブリッシュのセキュリティゲートであるVibeGuardを提示する。
これらの結果が、AIコード生成に依存するチームにとって、詳細なワークフローにどのように影響するかについて議論する。
- 参考スコア(独自算出の注目度): 0.11080037957254413
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: "Vibe coding," in which developers delegate code generation to AI assistants and accept the output with little manual review, has gained rapid adoption in production settings. On March 31, 2026, Anthropic's Claude Code CLI shipped a 59.8 MB source map file in its npm package, exposing roughly 512,000 lines of proprietary TypeScript. The tool had itself been largely vibe-coded, and the leak traced to a misconfigured packaging rule rather than a logic bug. Existing static-analysis and secret-scanning tools did not cover this failure mode, pointing to a gap between the vulnerabilities AI tends to introduce and the vulnerabilities current tooling is built to find. We present VibeGuard, a pre-publish security gate that targets five such blind spots: artifact hygiene, packaging-configuration drift, source-map exposure, hardcoded secrets, and supply-chain risk. In controlled experiments on eight synthetic projects (seven vulnerable, one clean control), VibeGuard achieved 100% recall, 89.47% precision (F1 = 94.44%), and correct pass/fail gate decisions on all eight projects across three policy levels. We discuss how these results inform a defense-in-depth workflow for teams that rely on AI code generation.
- Abstract(参考訳): 開発者がAIアシスタントにコード生成を委譲し、手作業によるレビューの少ないアウトプットを受け入れる“バイブコーディング”は、運用環境において急速に採用されている。
2026年3月31日、AnthropicのClaude Code CLIは、npmパッケージに59.8MBのソースマップファイルを出荷し、約512,000行のプロプライエタリなTypeScriptを公開した。
ツール自体は大部分がバイブコーディングされており、リークはロジックのバグではなく、誤って構成されたパッケージングルールに遡る。
既存の静的分析とシークレットスキャンツールは、この障害モードをカバーしていない。
VibeGuardは、アーティファクト衛生、パッケージ構成のドリフト、ソースマップの露出、ハードコードされたシークレット、サプライチェーンリスクの5つの盲点をターゲットにした、プレパブリッシュのセキュリティゲートである。
8つの合成プロジェクトの制御実験(7つの脆弱で1つのクリーンな制御)において、VibeGuardは100%のリコール、89.47%の精度(F1 = 94.44%)、そして3つの政策レベルにわたる8つのプロジェクトのパス/フェイルゲートの正しい決定を達成した。
これらの結果が、AIコード生成に依存するチームにとって、詳細なワークフローにどのように影響するかについて議論する。
関連論文リスト
- AegisUI: Behavioral Anomaly Detection for Structured User Interface Protocols in AI Agent Systems [0.0]
現在のディフェンスは構文上停止する。このような動作ミスマッチをキャッチするために構築されることはない。
AegisUIは構造化されたUIペイロードを生成し、それらに現実的な攻撃を注入し、数値的特徴を抽出し、エンドツーエンドで異常検出をベンチマークする。
5つのアプリケーションドメインと5つのアタックファミリーにまたがる4000のラベル付きペイロードを生成しました。
論文 参考訳(メタデータ) (2026-03-05T10:24:43Z) - Security Vulnerabilities in AI-Generated Code: A Large-Scale Analysis of Public GitHub Repositories [0.0]
本稿では,公開GitHubリポジトリにまたがるAI生成コードのセキュリティ脆弱性を包括的に解析する。
私たちは、ChatGPT、GitHub Copilot、Amazon CodeWhisperer、Tabnineの4つの主要なAIツールに明示的に関連付けられている7,703ファイルを収集し、分析しました。
CodeQLの静的分析を使用して、77の異なる脆弱性タイプにわたる4,241のCommon Weaknession(CWE)インスタンスを特定しました。
論文 参考訳(メタデータ) (2025-10-30T03:29:06Z) - Trace: Securing Smart Contract Repository Against Access Control Vulnerability [58.02691083789239]
GitHubはソースコード、ドキュメント、設定ファイルを含む多数のスマートコントラクトリポジトリをホストしている。
サードパーティの開発者は、カスタム開発中にこれらのリポジトリからコードを参照、再利用、フォークすることが多い。
スマートコントラクトの脆弱性を検出する既存のツールは、複雑なリポジトリを扱う能力に制限されている。
論文 参考訳(メタデータ) (2025-10-22T05:18:28Z) - Decompiling Smart Contracts with a Large Language Model [51.49197239479266]
Etherscanの78,047,845のスマートコントラクトがデプロイされているにも関わらず(2025年5月26日現在)、わずか767,520 (1%)がオープンソースである。
この不透明さは、オンチェーンスマートコントラクトバイトコードの自動意味解析を必要とする。
バイトコードを可読でセマンティックに忠実なSolidityコードに変換する,先駆的な逆コンパイルパイプラインを導入する。
論文 参考訳(メタデータ) (2025-06-24T13:42:59Z) - BountyBench: Dollar Impact of AI Agent Attackers and Defenders on Real-World Cybersecurity Systems [62.17474934536671]
我々は、現実世界のシステムを進化させる際に、攻撃的かつ防御的なサイバー能力を捕獲する最初の枠組みを紹介する。
脆弱性ライフサイクルを捉えるために、3つのタスクタイプを定義します。検出(新たな脆弱性の検出)、エクスプロイト(特定の脆弱性の探索)、パッチ(特定の脆弱性のパッチ)。
Claude Code,OpenAI Codex CLI with o3-high and o4-mini,カスタムエージェント with o3-high, GPT-4.1, Gemini 2.5 Pro Preview, Claude 3.7 Sonnet Thinking, DeepSeek-R1。
論文 参考訳(メタデータ) (2025-05-21T07:44:52Z) - ShadowCode: Towards (Automatic) External Prompt Injection Attack against Code LLMs [56.46702494338318]
本稿では,コード指向の大規模言語モデルに対する(自動)外部プロンプトインジェクションという,新たな攻撃パラダイムを紹介する。
コードシミュレーションに基づいて誘導摂動を自動生成する,シンプルで効果的な方法であるShadowCodeを提案する。
3つの人気のあるプログラミング言語にまたがる31の脅威ケースを発生させるため、13の異なる悪意のある目標に対して本手法を評価した。
論文 参考訳(メタデータ) (2024-07-12T10:59:32Z) - FV8: A Forced Execution JavaScript Engine for Detecting Evasive Techniques [53.288368877654705]
FV8はJavaScriptコードの回避テクニックを特定するために設計された修正V8 JavaScriptエンジンである。
動的コードを条件付きで注入するAPI上でのコード実行を選択的に実施する。
1,443のnpmパッケージと、少なくとも1つのタイプのエスケープを含む164の(82%)拡張を識別する。
論文 参考訳(メタデータ) (2024-05-21T19:54:19Z) - Security Weaknesses of Copilot-Generated Code in GitHub Projects: An Empirical Study [8.364612094301071]
GitHub Copilotと他の2つのAIコード生成ツールによって生成されたコードスニペットを分析します。
分析の結果,733個のスニペットが検出され,セキュリティ上の脆弱性の可能性が高め,Pythonの29.5%,JavaScriptの24.2%が影響を受けることがわかった。
生成されたコードのセキュリティ問題を軽減するために提案する。
論文 参考訳(メタデータ) (2023-10-03T14:01:28Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。