論文の概要: LLM4Fuzz: Guided Fuzzing of Smart Contracts with Large Language Models
- arxiv url: http://arxiv.org/abs/2401.11108v1
- Date: Sat, 20 Jan 2024 04:07:53 GMT
- ステータス: 処理完了
- システム内更新日: 2024-01-23 17:52:26.171040
- Title: LLM4Fuzz: Guided Fuzzing of Smart Contracts with Large Language Models
- Title(参考訳): LLM4Fuzz: 大規模言語モデルによるスマートコントラクトのガイドファズ
- Authors: Chaofan Shou, Jing Liu, Doudou Lu, Koushik Sen
- Abstract要約: 本稿では,自動スマートコントラクトセキュリティ分析を最適化するLLM4Fuzzを紹介する。
大規模な言語モデル(LLM)を使用して、ファジィキャンペーンをインテリジェントにガイドし、優先順位付けする。
評価の結果、効率性、カバレッジ、脆弱性検出が大幅に向上した。
- 参考スコア(独自算出の注目度): 7.833199151422389
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: As blockchain platforms grow exponentially, millions of lines of smart
contract code are being deployed to manage extensive digital assets. However,
vulnerabilities in this mission-critical code have led to significant
exploitations and asset losses. Thorough automated security analysis of smart
contracts is thus imperative. This paper introduces LLM4Fuzz to optimize
automated smart contract security analysis by leveraging large language models
(LLMs) to intelligently guide and prioritize fuzzing campaigns. While
traditional fuzzing suffers from low efficiency in exploring the vast state
space, LLM4Fuzz employs LLMs to direct fuzzers towards high-value code regions
and input sequences more likely to trigger vulnerabilities. Additionally,
LLM4Fuzz can leverage LLMs to guide fuzzers based on user-defined invariants,
reducing blind exploration overhead. Evaluations of LLM4Fuzz on real-world DeFi
projects show substantial gains in efficiency, coverage, and vulnerability
detection compared to baseline fuzzing. LLM4Fuzz also uncovered five critical
vulnerabilities that can lead to a loss of more than $247k.
- Abstract(参考訳): ブロックチェーンプラットフォームが指数関数的に成長するにつれて、大規模なデジタル資産を管理するために数百万行のスマートコントラクトコードがデプロイされている。
しかし、このミッションクリティカルなコードの脆弱性は、かなりの搾取と資産損失をもたらした。
したがって、スマートコントラクトの自動セキュリティ分析は必須である。
本稿では,大規模言語モデル(llm)を活用して,自動スマートコントラクトセキュリティ解析を最適化するために,llm4fuzzを提案する。
従来のファジィングは、広い状態空間を探索する際の低効率に悩まされているが、LSM4ファジィは、ファジィを高価値のコード領域や入力シーケンスに向けるLLMを使っている。
加えて、LLM4Fuzz は LLM を利用してユーザ定義不変量に基づいてファズーをガイドし、ブラインド探索のオーバーヘッドを減らすことができる。
実世界のdefiプロジェクトにおけるllm4fuzzの評価は、ベースラインのファジングと比べて効率、カバレッジ、脆弱性検出の大幅な向上を示している。
LLM4Fuzzはまた、5つの重大な脆弱性を発見し、247万ドル以上の損失を招いた。
関連論文リスト
- Investigating the prompt leakage effect and black-box defenses for multi-turn LLM interactions [125.21418304558948]
大きな言語モデル(LLM)の漏洩は、セキュリティとプライバシの重大な脅威を引き起こす。
マルチターンLDM相互作用の漏洩と緩和戦略は、標準化された方法では研究されていない。
本稿では,4つの異なるドメインと10のクローズドおよびオープンソース LLM にまたがる急激なリークに対するLSM 脆弱性について検討する。
論文 参考訳(メタデータ) (2024-04-24T23:39:58Z) - CyberSecEval 2: A Wide-Ranging Cybersecurity Evaluation Suite for Large Language Models [6.931433424951554]
大規模言語モデル(LLM)は新たなセキュリティリスクを導入するが、これらのリスクを計測し、削減するための包括的な評価スイートはほとんどない。
LLMのセキュリティリスクと能力を定量化する新しいベンチマークであるBenchmarkNameを提案する。
我々は,GPT-4,Mistral,Meta Llama 370B-Instruct,Code Llamaを含む複数のSOTA (State-of-the-art) LLMを評価した。
論文 参考訳(メタデータ) (2024-04-19T20:11:12Z) - Security Code Review by LLMs: A Deep Dive into Responses [9.776589174988043]
セキュリティコードレビューは、自動ツールと開発中のセキュリティ欠陥を検出する手作業を組み合わせることを目的としている。
本研究では,実世界のコードレビューのセキュリティ欠陥を含む549個のコードファイルに対して,最先端のLLM3つの検出性能を5つのプロンプトで比較した。
以上の結果から, LLMの応答は冗長性, 曖昧性, 不完全性に悩まされることが多く, その簡潔さ, 理解可能性, セキュリティ欠陥検出の遵守の必要性が浮き彫りにされている。
論文 参考訳(メタデータ) (2024-01-29T17:13:44Z) - LLM4Vuln: A Unified Evaluation Framework for Decoupling and Enhancing
LLMs' Vulnerability Reasoning [18.025174693883788]
大規模言語モデル (LLMs) は、脆弱性検出を含む多くの下流タスクに対して重要なポテンティルを証明している。
LLMの脆弱性検出に利用しようとする最近の試みは、LLMの脆弱性推論能力の詳細な理解が欠如しているため、予備的な初期化である。
LLM4Vulnという名前の統一評価フレームワークを提案し、LLMの脆弱性を他の機能と区別する。
論文 参考訳(メタデータ) (2024-01-29T14:32:27Z) - A & B == B & A: Triggering Logical Reasoning Failures in Large Language
Models [65.86149763739141]
LogicAskerはLLMの論理的推論能力を総合的に評価し改善する自動手法である。
LogicAsker は GPT-3, ChatGPT, GPT-4, Bard, Vicuna, Guanaco の6種類の LLM に対して評価を行った。
その結果、LogicAskerのテストケースは、異なるLLMで論理的推論失敗を25%から94%の確率で発見できることがわかった。
論文 参考訳(メタデータ) (2024-01-01T13:53:53Z) - How Far Have We Gone in Vulnerability Detection Using Large Language
Models [15.09461331135668]
包括的な脆弱性ベンチマークであるVulBenchを紹介します。
このベンチマークは、幅広いCTF課題と実世界のアプリケーションから高品質なデータを集約する。
いくつかのLSMは、脆弱性検出における従来のディープラーニングアプローチよりも優れていることがわかった。
論文 参考訳(メタデータ) (2023-11-21T08:20:39Z) - Understanding the Effectiveness of Large Language Models in Detecting
Security Vulnerabilities [13.591113697508117]
LLM(Large Language Models)は、コード関連のタスクにおいて顕著なパフォーマンスを示す。
LLMは、既存の静的解析やディープラーニングに基づく脆弱性検出ツールよりもよく機能することを示す。
LLMは、しばしば、コード内の脆弱なデータフローを特定する、信頼できる説明を提供する。
論文 参考訳(メタデータ) (2023-11-16T13:17:20Z) - Do-Not-Answer: A Dataset for Evaluating Safeguards in LLMs [59.596335292426105]
本稿では,大規模な言語モデルにおけるセーフガードを評価するための,最初のオープンソースデータセットを収集する。
我々は、自動安全性評価において、GPT-4に匹敵する結果を得るために、BERTライクな分類器をいくつか訓練する。
論文 参考訳(メタデータ) (2023-08-25T14:02:12Z) - On Evaluating Adversarial Robustness of Large Vision-Language Models [64.66104342002882]
大規模視覚言語モデル(VLM)のロバスト性を,最も現実的で高リスクな環境で評価する。
特に,CLIP や BLIP などの事前学習モデルに対して,まず攻撃対象のサンプルを作成する。
これらのVLM上のブラックボックスクエリは、ターゲットの回避の効果をさらに向上させることができる。
論文 参考訳(メタデータ) (2023-05-26T13:49:44Z) - Large Language Models are Not Yet Human-Level Evaluators for Abstractive
Summarization [66.08074487429477]
抽象的な要約のための自動評価器として,大規模言語モデル(LLM)の安定性と信頼性について検討する。
また、ChatGPTとGPT-4は、一般的に使われている自動測定値よりも優れていますが、人間の代替品として準備ができていません。
論文 参考訳(メタデータ) (2023-05-22T14:58:13Z) - Exploiting Programmatic Behavior of LLMs: Dual-Use Through Standard
Security Attacks [67.86285142381644]
命令追従型大規模言語モデルの最近の進歩は、悪意のある目的のために二重使用リスクを増幅する。
命令追従機能がコンピュータセキュリティの標準的な攻撃を可能にするため、デュアルユースを防ぐのは難しい。
本研究では,LLMがヘイトスピーチや詐欺などの悪意のあるコンテンツをターゲットにすることができることを示す。
論文 参考訳(メタデータ) (2023-02-11T15:57:44Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。