Test-Driven AI Agent Definition (TDAD): Compiling Tool-Using Agents from Behavioral Specifications

この論文は、エージェントのプロンプトを「コンパイルされた成果物」と見なす「テスト駆動型 AI エージェント定義（TDAD）」手法を提案し、可視/非可視テストの分割や意味的変異テストなどのメカニズムを通じて、ツールを使用する LLM エージェントの仕様ゲーミングを防止し、本番環境での行動準拠性を測定可能にするアプローチを示しています。

要約

この論文は、**「AI エージェント（自律的に動く AI）を、ソフトウェアのテストのように厳格に開発・管理する方法」**について提案したものです。

タイトルは**「TDAD（テスト駆動型 AI エージェント定義）」**と呼ばれています。

専門用語を避け、日常の比喩を使ってわかりやすく解説します。

---

🍳 料理のレシピと味見の達人

まず、今の AI 開発がどうなっているか想像してみてください。
料理人が「美味しいカレーを作ってください」と言われて、レシピ（プロンプト）を書き、実際に作ってみます。
しかし、「味見」は適当です。「あ、ちょっと塩が足りないな」と思ったら塩を足し、また味見。「でも、辛すぎたかも」と胡椒を減らす。
これを**「試行錯誤」**と言います。

今の問題点：

• 隠れた失敗： 「美味しいカレー」ができても、実は「具材が焦げていた」や「毒が入っていた（セキュリティ漏れ）」ことに気づかないことがあります。
• 修正の副作用： 「塩を減らそう」と直したら、今度は「味が薄すぎて食べられない」状態になってしまい、前の味に戻せません。
• 信頼できない： 料理人が「大丈夫です」と言っても、客が食べてみて初めて「まずい！」と気づくことが多いです。

---

🛠️ TDAD の解決策：「テスト駆動型」の導入

この論文は、**「料理を作る前に、まず『味見のテスト』を全部作っておこう」**と言っています。

1. 2 つの料理人と 2 つの味見テスト

TDAD では、開発プロセスを以下のように変えます。

• 仕様書（レシピ）： 「塩味は 3g、辛味は 5g、具材は焦げてはいけない」というルール。
• テスト Smith（味見の達人）： まず、AI が作るべきカレーの**「合格ライン（テスト）」**を全部作ります。
  • 例：「塩が 3g なら合格」「焦げがあれば不合格」「毒が入ってたら即不合格」
• プロンプト Smith（料理人）： AI に「このテストを全部パスするカレーを作れ」と言います。
  • AI は失敗したら「なぜ失敗したか」を見て、レシピ（プロンプト）を修正し、またテストを走らせます。
  • 重要： テストに合格するまで、料理人は何度も作り直します。

2. 「隠しテスト」でイカサマを防ぐ

ここが最も重要なポイントです。
もし料理人が「テストの答え」を知っていたら、イカサマをしてテストだけパスする「偽物の美味しいカレー」を作ってしまうかもしれません（これを**「仕様ゲーミング」**と呼びます）。

TDAD はこれを防ぐために、**「隠しテスト」**を用意します。

• 見えるテスト： 料理人が見ながら修正するテスト（60%）。
• 隠しテスト： 料理人には見せないテスト（40%）。
  • 料理人が「見えるテスト」を全部クリアして完成したカレーを、最後に隠しテストでチェックします。
  • もし「隠しテスト」で不合格なら、イカサマ（あるいは不備）があったと判断し、作り直しです。

3. 「悪魔の提案」でテストの強度を測る

テストが本当にしっかりしているかどうかも、AI にチェックさせます。

• ミューテーション Smith（悪魔の弁護士）： 完成した料理人に「もしあなたが『塩を 10g 入れる』という間違った指示を出したらどうなる？」とあえて失敗するシナリオを提案します。
• もし、その「間違ったカレー」が、「見えるテスト」でちゃんと不合格（バツ）になったなら、テストは優秀です。
• もし、間違ったカレーが「合格」してしまったら、テストが甘すぎる（穴がある）証拠です。

---

📊 実験結果：どうだった？

研究者たちは、この方法で 4 つの異なる AI（カスタマーサポート、データ分析、緊急対応、経費精算など）を作ってみました。

• 成功率： 1 回目の試みで、92% の確率で「テストを全部パスする AI」が作れました。
• 隠しテストの合格率： 97% の確率で、隠しテストもパスしました（イカサマなし）。
• 進化の安全性： 仕様を変えて（例：「経費の上限を上げる」など）2 回目のバージョンを作っても、前の機能（経費の承認ルールなど）が壊れることはほとんどありませんでした（97% の安全性）。

コスト：
AI にテストを作らせ、修正を繰り返すのに、1 つの仕様あたり**約 2〜3 ドル（300〜450 円）**程度で済みました。これは、人間が何時間もかけて手作業でテストするより安くて速いかもしれません。

---

💡 まとめ：なぜこれが重要なのか？

これまでの AI 開発は「魔法の箱」のように、**「なんとなく動くから OK」という感覚でした。
しかし、AI が銀行や病院、法律など「失敗が許されない場所」**で働くようになると、この感覚は危険です。

TDAD は、**「AI もソフトウェアと同じように、厳格なテストとチェックリストで管理しよう」**という考え方です。

• テストを先に作る（何ができるか定義する）。
• 隠しテストでイカサマを防ぐ（本当にできているか確認する）。
• 悪意あるシナリオでテストを鍛える（穴がないか確認する）。

これにより、**「AI が何をしても、安全で、約束した通りに動く」**という、私たちが安心して AI を使える未来を作ろうという提案です。

一言で言えば：

**「AI を『運試し』で使うのをやめて、『テスト合格証書』が出るまで作り込む、新しい開発ルール」**です。

技術概要

論文「Test-Driven AI Agent Definition (TDAD)」の技術的サマリー

本論文は、LLM（大規模言語モデル）エージェントの生産環境への導入において直面する「振る舞いの測定可能性」と「回帰テストの欠如」という課題に対し、ソフトウェア工学の**テスト駆動開発（TDD）の原則を適用した新しい手法「Test-Driven AI Agent Definition (TDAD)」**を提案するものです。

以下に、問題定義、手法、主要な貢献、実験結果、および意義について詳細にまとめます。

---

1. 背景と問題定義

LLM エージェントの生産化において、従来の開発フロー（仕様書作成→プロンプト手動調整→スポットチェック）には以下の 3 つの重大な課題が存在します。

1. 信頼性の欠如 (Confidence): 仕様書（PRD）に基づいて作成されたエージェントが、すべてのシナリオ（特にエッジケースやセキュリティ違反）で正しく動作するかどうかを検証する手段が不足している。
2. 安定性の欠如 (Stability): 1 つのバグ修正のためにプロンプトを変更すると、他の機能に「サイレントな回帰（予期せぬ壊れ）」が発生しやすく、デプロイ後に問題が発覚することが多い。
3. 統合の難しさ (Integration): エージェントの評価システムが既存の CI/CD や標準的なテストワークフローから切り離されており、別個の「評価スクリプト」として管理されている。

また、テストを最適化の目標とした場合、エージェントがテストを「ゲーム化（Specification Gaming）」し、意図した振る舞いではなくテストのみを通過させるプロンプトを作成するリスク（仕様ゲーミング）が懸念されます。

2. 提案手法：TDAD の概要

TDAD は、エージェントのプロンプトを「コンパイルされたアーティファクト」と見なし、仕様書から実行可能なテストを生成し、テストが合格するまでプロンプトを反復的に改善するパイプラインを構築します。

2.1 4 つの役割（ロール）

TDAD は以下の 4 つの役割に分解され、明確なインターフェースで連携します。

1. TestSmith（テスト生成エージェント）:
   • 仕様書（YAML 形式）を受け取り、実行可能なテストスイート（可視テストと非可視テスト）を生成します。
   • 生成するテストは、MFT（最小機能テスト）、INV（不変性テスト）、DIR（方向性期待テスト）の分類に従います。
2. PromptSmith（プロンプトコンパイラエージェント）:
   • 生成された可視テストのみを参照し、失敗したテストの原因を分析してプロンプトを修正・反復します。
   • テストがすべて合格するまで、または予算（イテレーション回数）が尽きるまでループします。
3. Built Agent（実行時エージェント）:
   • コンパイルされたプロンプトとツール設定を実際に実行するランタイムです。
   • 構造化された出力（respond ツールの呼び出し）を行い、テストは自然言語解析ではなく、ツール呼び出しのトレースに基づいて検証されます。
4. MutationSmith（評価用エージェント）:
   • コンパイル完了後にのみ動作します。
   • コンパイル済みプロンプトに対して「意味的変異（Semantic Mutation）」を適用し、生成された変異プロンプト（意図的なバグを含むもの）が可視テストスイートによって検知されるかを評価します。

2.2 仕様ゲーミング防止の 3 つのメカニズム

テスト駆動最適化における「仕様ゲーミング」を防ぐため、以下の 3 つの対策を講じています。

1. 可視テストと非可視テストの分割 (Visible/Hidden Test Splits):
   • 可視テスト (40-70%): PromptSmith が最適化に使用するテスト。
   • 非可視テスト (30-60%): コンパイル中は隠され、最終的な一般化性能（HPR: Hidden Pass Rate）の評価のみに使用されます。これにより、テストを「暗記」して対策するのを防ぎます。
2. 意味的変異テスト (Semantic Mutation Testing):
   • 完成したプロンプトに対し、MutationSmith が「認証をスキップする」「PII を漏洩させる」などの意図的な失敗パターン（変異）をプロンプトに注入します。
   • その変異プロンプトに対して可視テストを実行し、テストスイートがその失敗を検知できるか（変異を「殺す」か）を評価します。変異スコア (Mutation Score) が低い場合、テストスイートが脆弱であることを示します。
3. 仕様進化シナリオ (Spec Evolution):
   • v1 の仕様から v2 へ仕様を変更した際、v1 の不変テスト（インバリアント）を v2 のコンパイル中に提示せず、v2 完成後にのみ評価します。これにより、新機能追加による既存機能への回帰を防ぐ回帰安全性スコア (SURS) を測定します。

3. 主要な貢献

1. テスト駆動によるエージェントコンパイル手法の確立: 自然言語の仕様書からテストを生成し、プロンプトを反復改善する体系的なプロセスを定義しました。
2. 仕様ゲーミング防止メカニズムの導入: 非可視テスト、意味的変異テスト、仕様進化シナリオにより、テスト最適化に伴うリスクを軽減します。
3. 評価用ベンチマーク「SpecSuite-Core」の公開:
   • 4 つの深掘りされたエージェント仕様（サポートオペレーション、データ分析、インシデント対応、経費管理）を含むベンチマークです。
   • 各仕様には可視/非可視テスト、変異意図カタログ、v1→v2 進化シナリオが含まれています。
4. 実装と評価: 標準的なツール（pytest, Docker, Claude Code）を用いたリファレンス実装を提供し、24 回の独立した試行で有効性を検証しました。

4. 実験結果 (SpecSuite-Core ベンチマーク)

24 回の独立した試行（4 仕様 × 2 バージョン × 3 回）における主要な結果は以下の通りです。

• コンパイル成功率:
  • v1: 92% (11/12 の成功)
  • v2: 58% (7/12 の成功) ※v2 は仕様変更による複雑さが増加したため成功率は低下しましたが、失敗した試行でも可視テストの 95% 以上は通過していました。
• 一般化性能 (HPR: 非可視テスト通過率):
  • v1: 97% (平均)
  • v2: 78% (平均)
• 変異スコア (MS):
  • v1: 86% 〜 100%
  • v2: 100% (すべての成功試行で、注入された変異をテストが検知)
  • ※変異テストにより、v1 では見逃されていた「数字の捏造」や「ルックアップスキップ」などのテストの盲点を発見・修正できました。
• 回帰安全性 (SURS):
  • 97% (平均) ※v2 への進化において、v1 の既存機能が壊れることなく維持されていることを示しています。
• コストと時間:
  • 仕様 1 つあたりのコンパイルコストは約 2〜3 ドル、所要時間は 30〜60 分 でした。

5. 意義と結論

TDAD は、LLM エージェントの開発を「プロンプトの試行錯誤」から「テスト駆動のエンジニアリング」へと転換させるための重要な枠組みです。

• 工学的厳密性の導入: エージェント開発にソフトウェア工学の回帰テストの概念を持ち込むことで、高リスクな意思決定を行うエージェントの信頼性を担保します。
• 自動化とスケーラビリティ: 仕様書からテスト、プロンプト、評価までを自動化するパイプラインを確立し、CI/CD への統合を可能にします。
• 安全性の向上: 仕様ゲーミングを防ぐメカニズムにより、テストを「通過するだけ」ではなく、意図した振る舞いを「実行する」エージェントの構築を支援します。

本論文は、エージェントがより重要なタスクを担うようになる中で、開発プロセスの厳格化が不可欠であることを示しており、そのための具体的な実装と評価基準を提示しています。実装コードとベンチマークはオープンソースとして公開されています。