論文の概要: SoK: AI Secure Code Generation: Progress, Pitfalls, and Paths Forward
- arxiv url: http://arxiv.org/abs/2606.25195v1
- Date: Tue, 23 Jun 2026 21:39:05 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-25 17:05:30.150532
- Title: SoK: AI Secure Code Generation: Progress, Pitfalls, and Paths Forward
- Title(参考訳): SoK: AIのセキュアなコード生成 - 進歩、落とし穴、前方へのパス
- Authors: Rupam Patir, Keyan Guo, Haipeng Cai, Hongxin Hu,
- Abstract要約: このSoKは、AIセキュアコード生成の進捗、落とし穴、パスを体系化する。
セキュアなコーディング・原則理解は,コードレベルの結果の統計的に強い予測因子であることを示す。
我々は,原理誘導生成,評価,ベンチマーク,エージェントによる具体的な経路を推し進める。
- 参考スコア(独自算出の注目度): 18.590367120499394
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: The increasing use of AI systems for code generation raises a central security question: what can today's models and coding agents actually do to produce secure code, where do they still fail, and what would move the field forward? Existing work has explored prompting, fine-tuning, reinforcement learning, and agentic workflows for secure code generation, but the field still lacks a systematic understanding of how these techniques improve security and why substantial failures persist. In this SoK, we systematize the progress, pitfalls, and paths forward for AI secure code generation. We introduce a three-level framework that measures models' natural-language understanding of secure coding principles, their code-level actuation of those principles during generation, and the knowledge--actuation gaps between the two. We instantiate this framework across models and coding agents on benchmarks covering both isolated function-level security and full web-application security. Our results show that secure-coding-principle understanding is a statistically strong predictor of code-level outcomes, including functional correctness, security, and joint functional-security correctness. Yet substantial knowledge--actuation gaps remain: models can recognize relevant security principles but still fail to translate them into secure and functional code. These findings offer a principle-centered account of where AI secure code generation stands today and identify concrete paths forward through principle-guided generation, evaluation, benchmarking, and agentic workflows.
- Abstract(参考訳): 今日のモデルとコーディングエージェントがセキュアなコードを生成するために実際に何ができるのか、どこではまだ失敗するのか、現場を前進させるにはどうすればよいのか?
既存の作業では、セキュアなコード生成のためのプロンプト、微調整、強化学習、エージェントワークフローが検討されている。
このSoKでは、AIのセキュアなコード生成の進捗、落とし穴、パスを体系化しています。
我々は、モデルがセキュアなコーディング原則を自然言語で理解すること、世代間のそれらの原則のコードレベルでのアクティベーション、そして両者の知識-アクティベーションギャップを計測する3段階のフレームワークを紹介します。
このフレームワークを、独立した機能レベルのセキュリティと完全なWebアプリケーションセキュリティの両方をカバーするベンチマーク上で、モデルとコーディングエージェントにまたがってインスタンス化する。
この結果から,セキュアコーディング・原則理解は,機能的正当性,セキュリティ,共同機能的正当性など,統計的に強力なコードレベルの予測因子であることが示唆された。
モデルは関連するセキュリティ原則を認識できるが、セキュアで機能的なコードに変換することができない。
これらの発見は、AIのセキュアなコード生成が現在どこにあるのかを原則中心に説明し、原則誘導された生成、評価、ベンチマーク、エージェントワークフローを通じて、具体的なパスを前方に特定する。
関連論文リスト
- SecPI: Secure Code Generation with Reasoning Models via Security Reasoning Internalization [50.71047638695205]
RLM(Reasoning Language Model)は、プログラミングにおいてますます使われている言語モデルである。
しかし、最先端のRLMでさえ、生成されたコードに重大なセキュリティ脆弱性を頻繁に導入する。
我々は、構造化されたセキュリティ推論を内部化するためのRTMを教える微調整パイプラインであるSecPIを提案する。
論文 参考訳(メタデータ) (2026-04-04T04:29:11Z) - Security-by-Design for LLM-Based Code Generation: Leveraging Internal Representations for Concept-Driven Steering Mechanisms [6.049331537822609]
大きな言語モデル(LLM)は、自然言語を理解し、複雑なコードを生成する際、顕著な能力を示す。
調査によると、CodeLLMsは機能的に正しいが安全でないコードを頻繁に生成し、重大なセキュリティリスクを生じさせる。
我々は,LLMの内部表現をセキュアかつ機能的なコード出力にステアリングする,CodeLLMs (SCS-Code) のセキュア概念ステアリングを提案する。
論文 参考訳(メタデータ) (2026-03-11T18:28:06Z) - Inference-Time Safety For Code LLMs Via Retrieval-Augmented Revision [3.983997834693767]
大規模言語モデル(LLM)は、高度なソフトウェア開発において、コード生成のためにますます多くデプロイされている。
LLMは、新しく発見された脆弱性やセキュリティ標準の変更に容易に適応できない。
本稿では,推論時安全機構として機能する設計による信頼に値するコード生成への原則的アプローチを提案する。
論文 参考訳(メタデータ) (2026-03-02T06:06:34Z) - LLMs + Security = Trouble [5.235480194772795]
「火を点ける」アプローチでは、セキュリティバグの長い尾尾に対処できない。
コード生成中にセキュリティ制約を強制することで、より強力なセキュリティ保証を得ることができる、と私たちは主張する。
論文 参考訳(メタデータ) (2026-02-09T09:27:28Z) - Secure Code Generation via Online Reinforcement Learning with Vulnerability Reward Model [60.60587869092729]
大規模言語モデル(LLM)は、ソフトウェア開発でますます使われているが、安全でないコードを生成する傾向は、現実世界のデプロイメントにとって大きな障壁である。
機能保存型セキュアコード生成のためのオンライン強化学習フレームワークSecCoderXを提案する。
論文 参考訳(メタデータ) (2026-02-07T07:42:07Z) - LLM Agents Should Employ Security Principles [60.03651084139836]
本稿では,大規模言語モデル(LLM)エージェントを大規模に展開する際には,情報セキュリティの確立した設計原則を採用するべきであることを論じる。
AgentSandboxは、エージェントのライフサイクル全体を通して保護を提供するために、これらのセキュリティ原則を組み込んだ概念的なフレームワークである。
論文 参考訳(メタデータ) (2025-05-29T21:39:08Z) - Give LLMs a Security Course: Securing Retrieval-Augmented Code Generation via Knowledge Injection [5.011290848820237]
既存のRetrieval-Augmented Code Generation (RACG) システムはセキュリティをほとんど見落としており、重大なリスクをもたらしている。
本稿では,RACGシステムのセキュリティ強化フレームワークであるCodeGuarderを提案する。
我々のフレームワークは,セキュアなコードサンプルやルート原因アノテーションを含む,現実世界の脆弱性データベースからセキュリティ知識ベースを構築する。
論文 参考訳(メタデータ) (2025-04-23T05:27:27Z) - CodeAttack: Revealing Safety Generalization Challenges of Large Language Models via Code Completion [117.178835165855]
本稿では,自然言語入力をコード入力に変換するフレームワークであるCodeAttackを紹介する。
我々の研究は、コード入力に対するこれらのモデルの新たな、普遍的な安全性の脆弱性を明らかにした。
CodeAttackと自然言語の分布ギャップが大きくなると、安全性の一般化が弱くなる。
論文 参考訳(メタデータ) (2024-03-12T17:55:38Z) - CodeLMSec Benchmark: Systematically Evaluating and Finding Security
Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。
これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。
この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
論文 参考訳(メタデータ) (2023-02-08T11:54:07Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。