論文の概要: ACFIX: Guiding LLMs with Mined Common RBAC Practices for Context-Aware
Repair of Access Control Vulnerabilities in Smart Contracts
- arxiv url: http://arxiv.org/abs/2403.06838v1
- Date: Mon, 11 Mar 2024 15:59:59 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-12 18:25:23.542053
- Title: ACFIX: Guiding LLMs with Mined Common RBAC Practices for Context-Aware
Repair of Access Control Vulnerabilities in Smart Contracts
- Title(参考訳): ACFIX:スマートコントラクトにおけるアクセス制御脆弱性のコンテキストアウェア修復のための共通RBACプラクティスによるLLM指導
- Authors: Lyuye Zhang and Kaixuan Li and Kairan Sun and Daoyuan Wu and Ye Liu
and Haoye Tian and Yang Liu
- Abstract要約: ACFIXは、スマートコントラクトにおけるAC脆弱性の自動的かつ適切な修復のための新しいアプローチである。
私たちは、コード機能の主要なカテゴリで一般的なACプラクティスを抽出し、同様の機能でコードを修正するのにLLMをガイドするためにそれを使用します。
ACFIXを評価するために、118個の実世界のAC脆弱性のベンチマークデータセットを構築し、ACFIXが94.92%の修正に成功したことを明らかにした。
- 参考スコア(独自算出の注目度): 10.089077064479879
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Smart contracts are susceptible to various security issues, among which
access control (AC) vulnerabilities are particularly critical. While existing
research has proposed multiple detection tools, the automatic and appropriate
repair of AC vulnerabilities in smart contracts remains a challenge. Unlike
commonly supported vulnerability types by existing repair tools, such as
reentrancy, which are usually fixed by template-based approaches, the main
obstacle of AC lies in identifying the appropriate roles or permissions amid a
long list of non-AC-related source code to generate proper patch code, a task
that demands human-level intelligence.
Leveraging recent advancements in large language models (LLMs), we employ the
state-of-the-art GPT-4 model and enhance it with a novel approach called ACFIX.
The key insight is that we can mine common AC practices for major categories of
code functionality and use them to guide LLMs in fixing code with similar
functionality. To this end, ACFIX involves both offline and online phases.
First, during the offline phase, ACFIX mines a tax- onomy of common Role-based
Access Control (RBAC) practices from 344,251 on-chain contracts, categorizing
49 role-permission pairs from the top 1,000 pairs mined. Second, during the
online phase, ACFIX tracks AC-related elements across the contract and uses
this context information along with a Chain-of-Thought pipeline to guide LLMs
in identifying the most appropriate role-permission pair for the subject
contract and subsequently generating a suitable patch. This patch will then
undergo a validity and effectiveness check. To evaluate ACFIX, we built the
first benchmark dataset of 118 real-world AC vulnerabilities, and our
evaluation revealed that ACFIX successfully repaired 94.92% of them. This
represents a significant improvement compared to the baseline GPT-4, which
achieved only 52.54%.
- Abstract(参考訳): スマートコントラクトは、アクセス制御(ac)脆弱性が特に重要であるさまざまなセキュリティ問題に影響を受けやすい。
既存の研究では複数の検出ツールが提案されているが、スマートコントラクトにおけるAC脆弱性の自動的かつ適切な修復は依然として課題である。
通常、テンプレートベースのアプローチで修正されるreentrancyのような既存の修復ツールによって一般的にサポートされている脆弱性タイプとは異なり、acの主な障害は、適切な役割や権限をac以外のソースコードの長いリストの中で特定し、適切なパッチコードを生成することである。
近年の大規模言語モデル (LLM) の進歩を生かして, 最先端の GPT-4 モデルを採用し, ACFIX と呼ばれる新しいアプローチで拡張する。
重要な洞察は、コード機能の主要なカテゴリに対して一般的なacプラクティスを掘り起こして、同じような機能でコードを修正する際にllmをガイドできることです。
この目的のために、ACFIXはオフラインとオンラインの両方のフェーズを含む。
まず、オフラインフェーズにおいて、ACFIXは344,251のオンチェーン契約から、一般的なロールベースのアクセス制御(RBAC)プラクティスの税制オーソノミーをマイニングし、上位1000ペアから49のロールパーミッションペアを分類する。
第2に、ACFIXは、契約全体にわたるAC関連要素を追跡し、このコンテキスト情報とChain-of-Thoughtパイプラインを使用して、対象契約に対する最も適切なロールパーミッションペアを特定し、その後、適切なパッチを生成する。
このパッチは有効性と有効性チェックを受けます。
ACFIXを評価するために、118個の実世界のAC脆弱性のベンチマークデータセットを構築し、ACFIXが94.92%の修正に成功したことを明らかにした。
これは、ベースラインの GPT-4 に比べて大幅に改善され、52.54% しか達成されなかった。
関連論文リスト
- A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。
本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。
実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
論文 参考訳(メタデータ) (2024-01-19T14:52:04Z) - Just-in-Time Security Patch Detection -- LLM At the Rescue for Data
Augmentation [8.308196041232128]
本稿では,LLM(Large Language Models)とコードテキストアライメントを利用した新しいセキュリティパッチ検出システム LLMDA を提案する。
LLMDA内では、ラベル付き命令を使用してLLMDAを指示し、セキュリティ関連性に基づいたパッチの識別を行う。
次に、PTFormerを使ってパッチをコードとマージし、パッチとコード間の相互接続と固有の詳細の両方を含むハイブリッド属性を定式化します。
論文 参考訳(メタデータ) (2023-12-02T22:53:26Z) - Fake Alignment: Are LLMs Really Aligned Well? [91.26543768665778]
本研究では,複数質問とオープンエンド質問の相違点について検討した。
ジェイルブレイク攻撃パターンの研究にインスパイアされた我々は、これが不一致の一般化によって引き起こされたと論じている。
論文 参考訳(メタデータ) (2023-11-10T08:01:23Z) - Two Timin': Repairing Smart Contracts With A Two-Layered Approach [3.2154249558826846]
本稿では,スマートコントラクトの分類と修復のための新しい2層フレームワークを提案する。
Slitherの脆弱性レポートはソースコードと組み合わせて、トレーニング済みのRandomForestClassifier(RFC)とLarge Language Models(LLM)に渡される。
実験は、微調整および急速駆動LLMの有効性を実証した。
論文 参考訳(メタデータ) (2023-09-14T16:37:23Z) - A New Era in Software Security: Towards Self-Healing Software via Large
Language Models and Formal Verification [5.509906684981751]
本稿では,Large Language Models(LLM)とFormal Verification戦略を組み合わせた新しいソリューションを提案する。
提案手法は,脆弱なコードの修復において,最大80%の成功率を達成した。
論文 参考訳(メタデータ) (2023-05-24T05:54:10Z) - Online Safety Property Collection and Refinement for Safe Deep
Reinforcement Learning in Mapless Navigation [79.89605349842569]
オンラインプロパティのコレクション・リファインメント(CROP)フレームワークをトレーニング時にプロパティを設計するために導入する。
CROPは、安全でない相互作用を識別し、安全特性を形成するためにコストシグナルを使用する。
本手法をいくつかのロボットマップレスナビゲーションタスクで評価し,CROPで計算した違反量によって,従来のSafe DRL手法よりも高いリターンと低いリターンが得られることを示す。
論文 参考訳(メタデータ) (2023-02-13T21:19:36Z) - Solving Continuous Control via Q-learning [54.05120662838286]
深いQ-ラーニングの簡単な修正は、アクター批判的手法による問題を大幅に軽減することを示します。
バンバン動作の離散化と値分解、協調マルチエージェント強化学習(MARL)としての単一エージェント制御のフレーミングにより、このシンプルな批判のみのアプローチは、最先端の連続アクター批判法の性能と一致する。
論文 参考訳(メタデータ) (2022-10-22T22:55:50Z) - Safe RAN control: A Symbolic Reinforcement Learning Approach [62.997667081978825]
本稿では,無線アクセスネットワーク(RAN)アプリケーションの安全管理のためのシンボル強化学習(SRL)アーキテクチャを提案する。
我々は、ユーザが所定のセルネットワークトポロジに対して高レベルの論理的安全性仕様を指定できる純粋に自動化された手順を提供する。
ユーザがシステムに意図仕様を設定するのを支援するために開発されたユーザインターフェース(UI)を導入し、提案するエージェントの動作の違いを検査する。
論文 参考訳(メタデータ) (2021-06-03T16:45:40Z) - Detecting Security Fixes in Open-Source Repositories using Static Code
Analyzers [8.716427214870459]
機械学習(ML)アプリケーションにおけるコミットを表現する機能として,既製の静的コードアナライザの出力がどの程度使用されるかを検討する。
埋め込みの構築やMLモデルをトレーニングして、脆弱性修正を含むソースコードコミットを自動的に識別する方法について検討する。
当社のメソッドとcommit2vecの組み合わせは,脆弱性を修正するコミットの自動識別において,最先端技術よりも明確な改善であることがわかった。
論文 参考訳(メタデータ) (2021-05-07T15:57:17Z) - Multi-context Attention Fusion Neural Network for Software Vulnerability
Identification [4.05739885420409]
ソースコードのセキュリティ脆弱性の共通カテゴリのいくつかを効率的に検出することを学ぶディープラーニングモデルを提案する。
モデルは、学習可能なパラメータの少ないコードセマンティクスの正確な理解を構築します。
提案したAIは、ベンチマークされたNIST SARDデータセットから特定のCWEに対して98.40%のF1スコアを達成する。
論文 参考訳(メタデータ) (2021-04-19T11:50:36Z) - ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep
Neural Network and Transfer Learning [80.85273827468063]
既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。
スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。
ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
論文 参考訳(メタデータ) (2021-03-23T15:04:44Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。