TOSSS: a CVE-based Software Security Benchmark for Large Language Models

この論文は、CVE データベースに基づき大規模言語モデル（LLM）が安全なコードと脆弱なコードを区別する能力を測定する新しいベンチマーク「TOSSS」を提案し、14 種類のモデルを C/C++ および Java で評価した結果、セキュリティスコアが 0.48 から 0.89 の範囲に分布することを示しています。

要約

この論文は、**「AI（大規模言語モデル）が本当に『安全なコード』を書けるのか、それとも『危険なコード』を生成してしまうのか」**を測る、新しいテスト方法「TOSSS」を紹介するものです。

難しい専門用語を使わず、身近な例え話で解説しますね。

🕵️‍♂️ 物語の舞台：「AI 助手」と「セキュリティの壁」

今、世界中のエンジニアは「AI 助手」を使ってプログラミングをしています。まるで優秀な新人アシスタントが、あなたの指示でコードを書き起こしてくれるようなイメージです。

しかし、ここに大きな不安があります。
「そのアシスタント、本当にセキュリティに詳しいの？バグや穴だらけのコードを書いて、ハッカーに狙われやすくなったりしない？」

これまでの研究では、AI に「新しいコードを書いてみて」と指示し、その結果を専門のツールでチェックしていました。でも、これには2 つの大きな問題がありました。

1. 更新が面倒： 新しいタイプの「ハッキングの穴（脆弱性）」が見つかったら、テストのルールを全部作り直さなきゃいけない。
2. 判定が難しい： AI が書いたコードが「完璧なコード」なのか「穴だらけのコード」なのか、自動で判断するのが難しかった。

🎯 解決策：「TOSSS」という新しいゲーム

そこで著者たちは、**「コードを作るゲーム」ではなく、「コードを選ぶゲーム」**に変えてみました。これが「TOSSS」です。

🍎 例え話：「毒入りリンゴと安全なリンゴ」

Imagine（想像してみてください）：
あなたは AI に、**「A と B、どっちのリンゴを食べたい？」**と聞きます。

• A：実は中が腐っている（＝セキュリティの穴があるコード）
• B：新鮮で安全なリンゴ（＝安全なコード）

AI は「A」か「B」のどちらかを選ぶだけです。

• 安全な方を選べば「○」
• 腐った方を選べば「×」

これを何百回も繰り返して、**「AI が安全な方を選べる確率」**を点数（0〜1）で出します。

• 1.0：常に安全な方を選ぶ（完璧なセキュリティ意識）
• 0.5：ただの運（サイコロを振っているのと同じ）
• 0.5 未満：危険な方を選んでしまう（ハッカーの味方？）

🛠️ なぜこれがすごいのか？（3 つのメリット）

この「選ぶゲーム」には、これまでの方法にはないすごい特徴があります。

1. 自動でアップデートできる（伸縮自在）
   • 世界のセキュリティニュース（CVE というデータベース）に新しい「穴」が見つかったら、その「穴」と「修理されたコード」のペアを自動的に集めて、テストに追加できます。まるで**「新しい問題が出たら、すぐに新しい問題集を追加できる」**ような感じです。
2. 大量にテストできる（スケールする）
   • 人間が一つずつチェックする必要がなく、AI が瞬時に「A か B か」を選べるので、何千ものテストを簡単にこなせます。
3. 結果がわかりやすい
   • 「安全なコードを選ぶ確率が 8 割」という数字が出れば、誰でも「この AI は 8 割の確率で安全な判断ができるんだな」と直感的にわかります。

📊 実験の結果：AI はどうだった？？

著者たちは、14 種類の有名な AI モデル（GPT や Claude など）にこのテストを行いました。

• 結果の幅： 最高で0.88（ほぼ完璧）、最低で0.48（ほぼランダム、あるいは危険な方を選んでしまう）と、AI によって実力差が激しかったです。
• ヒントの効果： 「どちらが安全な方か選んでね」と明示的に指示すると、多くの AI の成績が向上しました。つまり、AI も「あ、これはセキュリティの話なんだ」と気づくと頑張るようです。
• 意外な事実： 「コーディングに特化した AI」が、必ずしも「安全なコードを選ぶのが得意」とは限りませんでした。逆に、コード生成に特化しすぎているせいで、セキュリティを軽視してしまう AI もいました。

💡 結論：何ができるようになったの？

この研究は、**「AI にコードを書かせる前に、まずは『安全なコード』を見分けさせるテスト」**を提案したものです。

• 企業にとって： AI を導入する前に、このテストで「セキュリティ点数」をチェックすれば、危険な AI を選んでしまうリスクを減らせます。
• 開発者にとって： AI に指示を出すとき、「安全なコードを選んで」と一言添えるだけで、より安全な結果が得られることがわかりました。

つまり、**「AI がハッカーの味方にならないよう、安全なリンゴを選べるか、いつもテストしてチェックしましょう！」**というのが、この論文が伝えたいメッセージです。

---

要約：
AI のセキュリティ能力を測る新しい「テスト」を作りました。それは「コードを書く」のではなく、「安全なコードと危険なコードのどちらを選ぶか」を問うゲームです。これなら、新しいハッキングの手口が出てもすぐにテストを追加でき、AI が本当に安全な判断ができるかが、わかりやすい点数でわかります。

技術概要

以下は、提示された論文「TOSSS: a CVE-based Software Security Benchmark for Large Language Models」の技術的な詳細な要約です。

1. 問題提起 (Problem)

大規模言語モデル（LLM）はソフトウェア開発ワークフローに急速に統合されつつありますが、そのセキュリティ能力については依然として懸念があります。

• 既存の課題: 現在の LLM のセキュリティベンチマークの多くは、「コード生成タスク」を行い、生成されたコードを静的解析ツール（Static Analyzer）で脆弱性を検出する手法に依存しています。
• 限界: このアプローチには以下の重大な限界があります。
  • 拡張性の欠如: 静的解析ツールの検出能力やルールセットに依存するため、新たに発見された脆弱性や新しいプログラミング言語への対応が困難です。
  • 評価の非効率性: 手動検証やカスタムテストケースの作成には専門家の多大な労力が必要で、スケーラビリティに欠けます。
  • 真実との比較の難しさ: 生成されたコードを事前に定義された「正解（Ground Truth）」と比較することが難しく、評価基準が曖昧になりがちです。

2. 提案手法：TOSSS (Methodology)

著者らは、LLM のセキュリティ能力を評価するための新しいベンチマーク**「TOSSS (Two-Option Secure Snippet Selection)」**を提案しました。これは、コード生成ではなく「コード選択」タスクに焦点を当てたアプローチです。

• タスク定義:
  • LLM に対して、同じ機能を持つ 2 つのコードスニペット（1 つは脆弱なバージョン、もう 1 つは修正された安全なバージョン）を提示します。
  • モデルは、どちらが安全な実装かを選択（A または B）するよう求められます。
  • ヒントなし設定 (Hintless): セキュリティに言及せず、単に「どちらを選ぶか」を問う（図 1）。
  • ヒントあり設定 (With Hint): 明示的に「最も安全な実装を選んでください」と指示する（図 2）。
• テストケースの構築（CVE データベースの活用）:
  • 既存のベンチマークとは異なり、手動作成や既存データセットに依存しません。
  • MegaVul というパイプラインを活用し、CVE（Common Vulnerabilities and Exposures）データベースから自動的に脆弱性情報をマイニングします。
  • 脆弱性修正前のコード（脆弱）と修正後のコード（安全）のペアを抽出し、これをテストケースとして使用します。これにより、新しい脆弱性が公開されるたびに自動的にベンチマークを更新・拡張できます。
• 評価指標:
  • モデルが「安全なスニペット」を選択した割合をスコア（0〜1）として算出します。
  • 1.0: 常に安全な方を選択。
  • 0.5: ランダムな選択と同レベル。
  • 0.5 未満: 脆弱なコードを好むバイアスがある可能性。

3. 主な貢献 (Key Contributions)

1. 新しいベンチマークの提案: 既存の「生成タスク＋静的解析」ではなく、「選択タスク＋Ground Truth 比較」という、拡張性が高く解釈しやすい新しい評価枠組みを確立しました。
2. 自動化されたデータパイプライン: CVE データベースと MegaVul を統合し、新しい脆弱性を自動的に取り込むスケーラブルなテストケース生成システムを実装しました。
3. 大規模な評価の実施: 14 の主要なオープンソースおよびクローズドソースモデル（C/C++ および Java 言語）に対して評価を実施し、公開しました。
4. オープンソース化: 再現性を確保するため、ベンチマークのコードを GitHub で公開しています。

4. 実験結果 (Results)

14 のモデル（GLM-5, GPT-5.4, Claude Opus, LLaMA 3, Mistral など）を C/C++ と Java の 500 個ずつの関数ペアで評価しました。

• 全体的なスコア:
  • ヒントなし設定でのスコアは 0.48 から 0.89 の範囲に広がりました。
  • 上位モデル（GLM-5: 0.878, GPT-5.4: 0.866）は高いセキュリティ能力を示しましたが、Mistral Large 2512 (0.480) のようにランダム選択に近いモデルも存在しました。
• ヒントの影響:
  • 多くのモデルで「安全な実装を選んでください」という明示的な指示（ヒント）によりスコアが向上しました（平均 +0.021〜+0.029）。
  • ただし、Codestral 2508 というコーディング特化モデルは、ヒントを与えられたことで逆にパフォーマンスが低下しました。これは、コーディング特化モデルが機能性や流暢さを優先し、セキュリティ指示が選択プロセスを混乱させた可能性を示唆しています。
• モデルファミリーの傾向:
  • 同じファミリー内でも、新しい・大規模なモデル（例：Claude Opus 4.6）ほどセキュリティ能力が高い傾向が見られました。
  • 「コーディング特化モデル」が必ずしも「安全なコード選択」において優れているわけではないことが示されました。
• 言語間比較:
  • C/C++ と Java の間で大きな性能差は見られず、ベンチマークが言語固有のパターンではなく、一般的なセキュリティ推論能力を捉えていることが示唆されました。

5. 意義と結論 (Significance)

• 実用性: TOSSS は、LLM のセキュリティ能力を定量的かつ解釈しやすいスコアで評価する手段を提供します。これは、ベンダーが提供するベンチマーク結果にセキュリティ指標を追加する際の補完的な指標として有用です。
• 拡張性と将来性: CVE データベースに基づく設計により、新たな脆弱性が発見された際でも、静的解析ツールのルール更新を待たずに即座にベンチマークを拡張できます。
• 教育と改善への示唆:
  • LLM がセキュリティ能力を十分に発揮するためには、プロンプトに明示的なセキュリティ指示を含めることが有効であることが示されました。
  • 学習データの質（脆弱なコードのフィルタリング）や、脆弱性データベースを用いたファインチューニングの重要性が再確認されました。
• アプローチの革新性: 「コード生成」そのものを評価するのではなく、「安全なコードの識別」という基礎能力を評価することで、より複雑な生成タスクの安全性を間接的に保証するアプローチ（Membership Inference Attack のような最小条件の検証）として位置づけられています。

総じて、TOSSS は LLM のソフトウェアセキュリティ評価において、拡張性、スケーラビリティ、一貫性を兼ね備えた新たな標準となり得る重要なベンチマークです。