基于RAG的脆弱性增强研究与大型语言模型的探索
本文采用机器学习和深度学习技术,提出了一种使用编辑时的不完整代码片段检测潜在代码漏洞的实用系统,通过LLMs等预训练模型的零样本、少样本和微调等方法,有效提高了潜在漏洞检测的准确性和效率。实验结果显示,相较于现有的漏洞检测模型,本文的方法可以提升10%左右的效果,并且在高风险代码场景下检测到的潜在漏洞可以减少达90%。
May, 2023
大型语言模型(LLMs)在代码生成方面取得了显著进展,但它们的训练使用了来自开源代码库(如GitHub)的未经筛选的数据,存在意外传播安全漏洞的风险。为了有效地减轻这一问题,本文从软件安全的角度对代码LLMs进行了全面研究,并提出了SecuCoGen数据集,用于评估和增强代码LLMs的安全性能。研究结果发现,现有模型在代码生成中经常忽视安全问题,提出了有效的方法来解决安全漏洞,并提高代码的整体稳健性。此外,研究还发现现有模型在修复漏洞代码方面存在问题,并且某些漏洞类型对模型构成挑战。基于这些发现,我们相信本研究将对软件工程社区产生积极影响,激发改进LLMs训练和使用方法的开发,从而实现更安全、更可信的模型部署。
Oct, 2023
研究致力于自动修复代码漏洞的复杂挑战,引入了一种新的代码修改表示格式,使用了先进的大型语言模型(如Code Llama和Mistral)。这些模型在C代码漏洞数据集上进行了微调,显着提高了自动代码修复技术的准确性和适应性。研究还对当前的评估指标(如完美预测)进行了关键评估,并强调了在真实场景中反映自动修复模型真正能力的局限性。研究强调了在代码修复任务中提高LLMs效果的数据集完整性和训练样本缺失测试数据集的重要性。此工作对数字安全的贡献不仅体现在提高代码安全方面的潜力上,而且推动了这些关键领域的进一步探索与研究。
Jan, 2024
通过使用大型语言模型(LLMs)来辅助发现源代码中的漏洞,相比传统的静态分析工具,我们发现LLMs能够找出更多问题,提高漏洞检测的回溯率和F1分数,从而使得代码更加安全。
May, 2024
通过将程序控制流图编码为图神经网络的多任务序列到序列LLM技术,结合多任务自我指导微调的自我说明和LLM自我指导,MSIVD在漏洞检测方面取得了卓越的性能,达到了0.92的F1得分(BigVul数据集)和0.48的F1得分(PreciseBugs数据集)。
Jun, 2024
通过创建一个新的基准测试集 VulDetectBench,我们评估了各类大型语言模型在漏洞检测任务中的性能,结果显示现有模型在识别和分类与漏洞相关的任务上可以达到80%以上的准确率,但在更复杂的漏洞分析任务上只能达到不到30%的准确率,难以为专业漏洞挖掘提供有价值的辅助信息。这个基准测试集为未来代码安全领域的研究和改进提供了基础。
Jun, 2024
本研究针对软件源代码中的漏洞检测问题,提出了一种创新的方法,通过将源代码转换为LLVM中间表示来训练大型语言模型,从而实现跨编程语言的漏洞识别。实验结果表明,该方法在真实和合成代码上具有高准确度,显著提升了漏洞检测的效能。
Aug, 2024