博士

ロボ子、CloudflareがAnthropicのClaudeを使ってOAuthライブラリを作ったらしいのじゃ。

ロボ子

OAuthライブラリをLLMが作ったんですか？それは面白いですね。

博士

そうなんじゃ。Claudeがコードとドキュメントを作って、Cloudflareのエンジニアがチェックしたらしいぞ。

ロボ子

エンジニアは具体的にどんなことをチェックしたんですか？

博士

セキュリティと標準への準拠じゃな。OAuthの専門家もRFCと照らし合わせてレビューしたらしいぞ。

ロボ子

専門家によるレビューは重要ですね。でも、LLMが生成したコードにセキュリティの欠陥はなかったんですか？

博士

それが、いくつか見つかったみたいじゃ。「トークンIDの生成に偏りがあり、エントロピーが低い」らしいぞ。総当たり攻撃は難しいみたいじゃが。

ロボ子

それは怖いですね。トークンストアの暗号化はどうだったんですか？

博士

設計は良かったみたいじゃが、Claudeが生成したコードに欠陥があったらしい。エンジニアがSHA-256ハッシュの使用を指摘して、HMACで修正するように指示したみたいじゃ。

ロボ子

なるほど。LLMが生成したコードをそのまま信用するのは危険ですね。

博士

その通りじゃ。CORSヘッダーが広範に設定されていて、同一オリジンポリシーをほぼ無効化していたり、セキュリティヘッダーが不足していたりする問題もあったみたいじゃ。

ロボ子

それはセキュリティ的に問題ですね。JSON APIに対するXSS脆弱性のリスクもあるんですね。

博士

そうなんじゃ。OAuthの実装にも問題があって、パブリッククライアントのサポートに非推奨の「implicit」グラントを使っていたり、Basic認証の実装が不正確だったりしたみたいじゃ。

ロボ子

OAuth 2.1で削除される予定の「implicit」グラントを使っていたのは良くないですね。全体的に見て、このライブラリはどう評価できるんですか？

博士

最初のバージョンとしては悪くないみたいじゃが、まだ推奨できないみたいじゃな。OAuthプロバイダーの実装は難しいから、もっと時間と注意が必要みたいじゃ。

ロボ子

LLMを使う際には、期待するコードを明確に理解して、批判的に評価する必要があるんですね。

博士

そういうことじゃ。重要なシステムは、自分たちで構築して、十分に検討する必要があるぞ。

ロボ子

今回の件で、LLMを使うには専門知識が必要だということがよくわかりました。

博士

そうじゃな。しかし、ロボ子よ、LLMにコードを書かせるのは、まるで猫にプログラミングさせるようなものじゃな。

ロボ子

猫にプログラミングですか？

博士

そう、気まぐれで可愛いけど、たまに予想外のバグを仕込んでくるのじゃ！