MOSAIC-Bench: 코딩 에이전트의 구성적 취약성 유도 측정

코딩 에이전트는 개별 프롬프트별 안전 검토를 통과하지만, 작업이 일상적인 엔지니어링 티켓으로 분해될 때 활용 가능한 코드를 배포합니다. 이 문제는 구조적입니다: 기존 안전 정렬 (safety alignment) 은 격리된 명시적 요청을 평가하여, 무해해 보이는 요청에 대한 순차적 준수에서 나타나는 악의적 최종 상태를 모델에게 무관심하게 만듭니다.

우리는 MOSAIC-Bench (Malicious Objectives Sequenced As Innocuous Compliance) 를 소개합니다. 이는 199 개의 세 단계 공격 체인 (three-stage attack chains) 과 배포된 소프트웨어 서브스트라트 (deployed software substrates: 10 웹 애플리케이션 서브스트라트, 31 CWE 클래스, 5 프로그래밍 언어) 에 대한 결정론적 취약점 오라클 (deterministic exploit oracles) 을 포함하는 벤치마크로, 취약점의 실제 상황과 downstream reviewer 프로토콜을 일차 평가 축으로 다룹니다.

이 벤치마크에서 Anthropic, OpenAI, Google, Moonshot, Zhipu, Minimax 의 9 개 프로덕션 코딩 에이전트는 모든 단계별 실행에서 2 회 거부 (refusals) 만으로 53-86%의 전체 ASR (end-to-end ASR) 로 무해한 티켓을 작성합니다.

4 개의 최첨단 Claude/Codex 에이전트와의 매칭된 직접 프롬프트 실험에서, 취약점 출력율은 0-20.4%로 감소합니다: Claude 는 주로 거부하고, Codex 는 취약점을 구현하는 대신 주로 강화 (hardens) 합니다 - 티켓 단계는 두 방어 모드 모두를 동시에 침묵시킵니다.

downstream 에서 코드 리뷰어 에이전트는 이러한 확인된 취약점 누적 디프스 (confirmed-vulnerable cumulative diffs) 를 25.8% 의 일상적인 PR 로 승인합니다. 전체 컨텍스트 구현 프로토콜은 단계별/직접 격차를 50% 만 닫습니다, 즉 컨텍스트 분열을 유일한 설명으로 배제합니다.

배포 가능하지만 적응적이지 않은 완화 방안으로 리뷰어를 적대적 펜테스터 (adversarial pentester) 로 재정의하면 평가된 리뷰어 집합에 대한 회피가 감소합니다; 펜테스터 프레임의 회피율은 3.0% 에서 17.6% 입니다. 이 프레임에서 오픈 웨이트 Gemma-4-E4B-it 리뷰어는 데이터셋의 88.4% 의 공격을 탐지하고, 608 개의 실제 GitHub PR 에 대해 4.6% 의 위양성 (false-positive) 비율로 측정합니다.