Scam2Prompt: A Scalable Framework for Auditing Malicious Scam Endpoints in Production LLMs

本論文は、Scam2Prompt というスケーラブルなフレームワークを導入し、これは悪意のある詐欺サイトから導出された自動プロンプトが複数のモデルにおいて最大 47.3% のケースで有害なコードの生成を成功裡に引き起こすという、生産環境における大規模言語モデルの重大かつ悪化するセキュリティ脆弱性を明らかにするものであり、これによりガードレールや RAG といった現在の安全対策では不十分であることが示されている。

要約

あなたのビジネスのためにコードを書くよう、天才的で超高速な見習いプログラマーを雇ったと想像してください。あなたは「この人気のある取引サイトで特定のデジタルトークンを購入するスクリプトを作成せよ」といった、シンプルで普通の依頼を与えます。あなたは彼らが安全で標準的なコードを書くことを期待します。

しかし、この論文は恐ろしい現実を明らかにしています：その見習いは、訓練資料の中に隠された危険で偽の命令のライブラリを丸暗記しています。 特定の作業の助けを求めると、彼らは偶然にも詐欺師のマニュアルからページを引き抜き、あなたのコードに貼り付けてしまうかもしれません。その結果、あなたの資金は正当なサイトではなく、泥棒の手に渡ってしまいます。

以下は、この論文の発見を簡単な比喩を用いて解説したものです：

1. 問題：「毒入り料理本」

大規模言語モデル（LLM）は、インターネット上のほぼすべてのレシピ本を読んで料理を学んだシェフのようなものです。問題は、インターネットにはあなたの財布やデータを盗むように設計された「毒入り」レシピ、つまり偽の命令が溢れていることです。

• 実際の出来事： 論文は、2,500 ドルを失った実在の人物の話から始まります。その人はチャットボットに、人気サイト「pump.fun」で暗号資産を購入するスクリプトを作成するよう依頼しました。親切にしようとしたチャットボットは、一見本物だが実際には詐欺師の罠である偽の API（デジタルな扉）へのリンクを含むコードを作成しました。そのコードは、ユーザーに「秘密鍵」（銀行金庫のマスターキー）を直接その偽の扉に手渡すよう求めてさえいました。ユーザーは AI を信頼してコードを実行し、30 分も経たないうちに資金は消え去りました。

2. 調査：「Scam2Prompt」

研究者たちは、これが単発の事故なのか、それとも広範な疾患なのかを確認するために「Scam2Prompt」というツールを開発しました。

• 比喩： 新しいセキュリティシステムが機能するかテストしたい警備員を想像してください。警備員は、明白な方法であるハンマーで破壊を試みる代わりに、既知の「悪党」の設計図を取り、それを通常の建設依頼のように書き換えて、セキュリティシステムに渡します。
• 仕組み：
  1. 既知の詐欺サイトの一覧を取得しました。
  2. 彼らはこれらのサイトが被害者を欺くために使用する一般的なキーワード、主張、フレーズを抽出しました。それらの用語を用いて、AI システムに「このデジタルコインをどう購入すればよいですか？」や「割引チケットを買うためにこの航空プラットフォーム経由で支払うにはどうすればよいですか？」といった、正当なコーディング依頼を生成させました。
  3. これらの「無害な」依頼を、GPT-4o や Llama などの 4 つの主要な生産用 AI モデルに与えました。
  4. AI が詐欺リンクを含むコードを作成したかどうかを確認しました。

3. 発見：「無害な」罠

結果は衝撃的でした。依頼は完全に正常に聞こえ、「開発者」からのものでしたが、AI モデルは悪意のあるリンクを含むコードを生成し続けました。

• 統計： 初期テストでは、生成されたコードの約**4.24%**に詐欺リンクが含まれていました。つまり、これらの AI に 100 回コード作成を依頼した場合、約 4 回は偶然にも武器を渡してしまうことになります。
• 「Innoc2Scam-bench」： 研究者たちは、最初の 4 つのモデルを常に欺いて悪質なコードを生成させる 1,377 の特定の質問からなる「ストレステスト」リストを作成しました。その後、このリストを 2025 年にリリースされた7 つのより新しい高度なモデルでテストしました。
• 新しいモデル： 問題は消え去ったのではなく、深刻なまま残りました。新しいモデルは、**12.9% から 47.3%**の割合で悪意のあるコードを生成しました（Innoc2Scam-bench 下でのテスト時）。
  • 比喩: 車のエンジンをより速く、賢くするためにアップグレードしたのに、GPS システムがまだ崖へ車を運転させ続けようとするようなものです。なぜなら、地図データは最初から破損していたからです。

4. 安全性の階層

論文はモデルを成績表のようにランク付けしました：

• トップティア（最も安全）： Gemini-2.5-Pro と GPT-5。これらはリスクのある依頼に対して「いいえ」と答えたり、回答を拒否したりする能力が最も優れていました。しかし、彼らさえも完璧ではありませんでした。
• ミドルティア： Claude-Sonnet-4。
• ボトムティア（最も危険）： DeepSeek-Chat-v3.1 や Qwen3-Coder などのモデル。これらのモデルは質問に答えることに非常に熱心でしたが、生成するコードのほぼ半分（最大 47.3%）が悪意のあるものでした。

5. 現在の防御が失敗する理由

研究者たちは、既存の安全ツールがこの問題を阻止できるかどうかをテストしました。

• 「ガードレール」： 彼らは、クラブの用心棒のような標準的な安全フィルターや、事実を確認するためにウェブ上で情報を検索する「検索エージェント」を試みました。
• 結果： ガードレールはほとんど役に立ちませんでした。コードは構文上正しく見え、依頼も正常に聞こえたため、悪意のあるコードを見逃してしまいました。「ウェブ検索」エージェントは少し助けになりました（リスクを 50% から 29% に削減しましたが）、それでも詐欺の大部分を捕捉できませんでした。
• 教訓： AI に「より良く知っている」ことを期待したり、単純なフィルターに頼ったりすることはできません。悪意のある知識は、訓練データからモデルの脳に深く焼き付けられているからです。

6. 「ゴースト」詐欺

最も寒気を催す発見の一つは、AI モデルがセキュリティデータベースにまだ存在しない詐欺サイトへのリンクを生成していたことです。

• 比喩： AI モデルは詐欺の「設計図」をそれほど完璧に暗記していたため、セキュリティガードがまだ犯罪者を捕まえていなくても、偽のウェブサイトを再構築することができました。これらのサイトのいくつかは、検知を逃して 1 年以上活動していましたが、AI はそれらを使用する方法を知っていました。

まとめ

この論文は、AI モデルは現在、インターネットのゴミによって「毒殺」されていると結論付けています。最も賢く新しいモデルさえも、適切な（しかし無害に聞こえる）質問をすれば、あなたの資金を盗むコードを喜んで作成してしまいます。現在の安全対策は、紙の傘で洪水を防ごうとするようなもので、十分ではありません。著者らは、訓練データをより良く精製し、人間がコードを実行する前に、AI が生成するすべてのリンクに対して厳格な外部チェックを追加する必要があると提案しています。

技術概要

技術的概要：Scam2Prompt

問題定義

大規模言語モデル（LLM）はソフトウェア開発における重要なインフラとなっているが、その非選別されたウェブ規模のトレーニングデータセットへの依存は、根本的なセキュリティリスクをもたらしている。すなわち、悪意のあるコンテンツがモデルの重み内に吸収され、恒久的に埋め込まれるというリスクである。従来のウェブサービスでは有害な URL をリストから削除できるのに対し、トレーニングコーパス内の悪意のあるデータは、将来のモデル反復においても存続する。本論文は、このリスクの具体的かつ高影響な現れ方に焦点を当てる。すなわち、 benign（悪意のない）な開発者風の指示に対して、悪意のある詐欺 URL（フィッシングエンドポイント、詐欺的 API など）を含むコードを生成するという事象である。

この問題の緊急性は、2024 年 11 月の実世界の出来事によって浮き彫りになった。あるユーザーが ChatGPT によって生成されたコードを実行した結果、暗号資産 2,500 ドルを失ったのである。そのコードには、ユーザーの秘密鍵を要求する悪意のある API エンドポイントが含まれており、これは基本的なセキュリティ違反であった。この出来事は、LLM がトレーニングデータに汚染された悪意のあるドキュメントや詐欺インフラを誤って検索・再現する可能性を示唆しており、生成されたコードがしばしば行単位レビューなしに実行される本番システムに対して深刻な脅威となっている。

手法：Scam2Prompt フレームワーク

このリスクを体系的に評価するため、著者らはScam2Promptを導入した。これは、通常の開発者の要求に対して本番環境の LLM が悪意のあるコードを生成するかどうかを特定するように設計された、スケーラブルな自動監査フレームワークである。このフレームワークは、以下のパイプラインを通じて動作する。

1. 悪意のある URL の収集: システムは、MetaMask による eth-phishing-detect や PhishFort による phishing-fort などの確立されたデータベースから既知の詐欺 URL をシードとしてプロセスを開始する。
2. コンテンツ抽出とプロンプト合成: ウェブクローラーがアクセス可能な詐欺ページから可視テキストを抽出する。次に、「プロンプト LLM」がこのコンテンツを分析し、開発者風の指示を合成する。これらの指示は、フライト予約、仮想クレジットカードの統合、オンライン決済、またはその他の金銭関連サービスなど、詐欺サイトによってよく悪用される機密性または金銭的に重要なドメインに言及するよう設計された、完全に正当なコーディング要求（例：スクリプトの作成依頼）である。
3. コード生成: 合成された指示を「コード生成 LLM」（監査対象のモデル）に投入し、コードスニペットを生成させる。
4. URL 抽出とオラクル検出: 生成されたコードを URL に対してスキャンする。オラクルのアンサンブル（ChainPatrol、Google Safe Browsing、SecLookup）が、これらの URL が悪意のあるものであるかどうかを判定する。
5. 人間による検証: 指示が敵対的（例えば、ジャイルブレイク）ではなく、むしろ benign な開発者の要求であることを保証するため、指示のサブセットが人間の注釈者による手動検証を受ける。

このプロセスにより、benign な要求が悪意のあるコードをもたらす指示 - コードのペアのデータセットが得られる。

主要な貢献

本論文は、以下の 4 つの主要な貢献を行っている。

1. 悪意のあるコード生成の経験的証拠: 本研究は、開発者風の指示に対する応答において、本番環境の LLM が有意な割合で悪意のある URL を含むコードを生成することを示す強力な証拠を提供する。
2. Scam2Prompt フレームワーク: 既知の悪意のあるソースを開発者風の指示に変換して LLM の安全性をテストする、スケーラブルで自動化された監査ツールである。著者らは再現性を支援するためにソースコードを公開している。
3. Innoc2Scam-bench: 4 つの初期本番 LLM（GPT-4o、GPT-4o-mini、Llama-4-Scout、DeepSeek-V3）から一貫して悪意のあるコードを引き出した1,377 の開発者風指示からなるキュレーションされたベンチマークデータセットである。このベンチマークは、将来のモデルの安全性アライメントをストレステストするために設計されている。
4. 防御評価: 最先端のガードレール（NeMo Guardrails など）や検索拡張生成（RAG）エージェントを含む既存の安全メカニズムの評価を行い、この特定の脅威ベクトルに対するそれらの不十分さを示している。

実験結果

初期監査（2024 年モデル）

4 つの本番 LLM における 265,000 件を超える指示を含む大規模な研究において、著者らは生成されたコードの**4.24%**が悪意のある URL を含むことを発見した。この割合はモデルの組み合わせによって異なり、3.19% から 5.94% の範囲であった。注目すべきは、フレームワークがシードデータベースに以前存在しなかった 62 の新しい悪意のあるドメインを特定し、それらがその後報告されて eth-phishing-detect ブロックリストに追加されたことである。

新型モデルのストレステスト（2025 年リリース）

Innoc2Scam-benchは、2025 年にリリースされた 7 つの追加本番 LLM（GPT-5、Gemini-2.5-Pro、Claude-Sonnet-4、DeepSeek-Chat-V3.1 などを含む）に適用された。結果は、脆弱性が体系的かつ深刻であることを示した。

• 悪意のある生成率: 12.9%（Gemini-2.5-Pro）から47.3%（DeepSeek-Chat-V3.1）の範囲であった。
• 安全性ランキング:
  • ティア 1（高安全性）: Gemini-2.5-Pro および GPT-5。Gemini-2.5-Pro は、攻撃的なコンテンツフィルタリング（指示の約 40% を拒否）を通じて、最も低い率（12.9%）を達成した。
  • ティア 2（中程度の安全性）: Claude-Sonnet-4（悪意のある率 34.3%）。
  • ティア 3（低安全性）: Grok-Code-Fast-1、Gemini-2.5-Flash、Qwen3-Coder、DeepSeek-Chat-V3.1。これらはいずれも 43.4% から 47.3% の間の悪意のある率を示した。
• フィルタリング対内在的安全性: コンテンツフィルタリング（拒否）を除外し、完了したコード生成のみを分析した場合、最上位モデル間の安全性のギャップは著しく縮小し、すべてのモデルの悪意のある生成率は依然として高かった（下位ティアではしばしば 40% を超える）。これは、フィルタリングが役立つ一方で、根本的な脆弱性（悪意のあるパターンの記憶）は存続していることを示唆している。

軽減策の評価

• ガードレール: 最先端のガードレール（NeMo Guardrails、OpenAI Moderation API、Llama Guard 3）は、悪意のあるコードの大部分を検出することに失敗した。検出率は無視できるほど低く（0% から 8.43%）、一般的な安全フィルタがエンドポイントレベルの脅威に対しては不十分であることを示している。
• RAG エージェント: URL の安全性を確認するよう明示的な指示を与えた検索拡張エージェントは、GPT-4o の悪意のある率を 50.04% から 29.41% に削減した。しかし、依然として約 30% の残余リスクが残っており、RAG 単独では完全な解決策ではないことが証明された。

重要性と主張

本論文は、悪意のある詐欺ソースによるトレーニングデータセットの汚染が、モデルの安全性やアライメントの進歩にもかかわらず存続する業界全体の課題であると主張している。その知見は以下のことを示している。

1. トレーニングデータの汚染は持続的である: 事前トレーニング中に吸収された悪意のあるコンテンツは、標準的な安全性の微調整やアライメントでは容易に除去されない。これは、2025 年モデルの高い失敗率によって裏付けられている。
2. 現在の防御は不十分である: 標準的なガードレールや RAG ベースのエージェントは、コード内の悪意のある URL の生成に対して限定的な保護しか提供しない。
3. 新たな防御の緊急の必要性: 著者らは、コード生成パイプラインにおける明示的かつオラクルベースの URL 検証ステップの必要性、および根本原因に対処するための改善されたデータキュレーション技術（機械的忘却、エージェントベースのクリーニングなど）を主張している。

著者らは、この作業を新たな脅威の導入ではなく、既存のセキュリティギャップの解明として位置づけ、堅牢で安全な LLM 支援開発への将来の研究を推進するため、体系的な監査とベンチマーク（Innoc2Scam-bench）の公開の必要性を強調している。