Fugu-MT 論文翻訳(概要): ACFIX: Guiding LLMs with Mined Common RBAC Practices for Context-Aware Repair of Access Control Vulnerabilities in Smart Contracts

論文の概要: ACFIX: Guiding LLMs with Mined Common RBAC Practices for Context-Aware Repair of Access Control Vulnerabilities in Smart Contracts

arxiv url: http://arxiv.org/abs/2403.06838v2
Date: Mon, 18 Mar 2024 13:37:56 GMT
ステータス: 処理完了
システム内更新日: 2024-03-20 20:59:04.987270
Title: ACFIX: Guiding LLMs with Mined Common RBAC Practices for Context-Aware Repair of Access Control Vulnerabilities in Smart Contracts
Title（参考訳）: ACFIX:スマートコントラクトにおけるアクセス制御脆弱性のコンテキストアウェア修復のための共通RBACプラクティスによるLLM指導
Authors: Lyuye Zhang, Kaixuan Li, Kairan Sun, Daoyuan Wu, Ye Liu, Haoye Tian, Yang Liu,
Abstract要約: ACFIXは、スマートコントラクトにおけるAC脆弱性の自動的かつ適切な修復のための新しいアプローチである。私たちは、コード機能の主要なカテゴリで一般的なACプラクティスを抽出し、同様の機能でコードを修正するのにLLMをガイドするためにそれを使用します。 ACFIXを評価するために、118個の実世界のAC脆弱性のベンチマークデータセットを構築し、ACFIXが94.92%の修正に成功したことを明らかにした。
参考スコア（独自算出の注目度）: 9.607311505567177
License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
Abstract: Smart contracts are susceptible to various security issues, among which access control (AC) vulnerabilities are particularly critical. While existing research has proposed multiple detection tools, the automatic and appropriate repair of AC vulnerabilities in smart contracts remains a challenge. Unlike commonly supported vulnerability types by existing repair tools, such as reentrancy, which are usually fixed by template-based approaches, the main obstacle of AC lies in identifying the appropriate roles or permissions amid a long list of non-AC-related source code to generate proper patch code, a task that demands human-level intelligence. Leveraging recent advancements in large language models (LLMs), we employ the state-of-the-art GPT-4 model and enhance it with a novel approach called ACFIX. The key insight is that we can mine common AC practices for major categories of code functionality and use them to guide LLMs in fixing code with similar functionality. To this end, ACFIX involves both offline and online phases. First, during the offline phase, ACFIX mines a taxonomy of common Role-based Access Control (RBAC) practices from 344,251 on-chain contracts, categorizing 49 role-permission pairs from the top 1,000 pairs mined. Second, during the online phase, ACFIX tracks AC-related elements across the contract and uses this context information along with a Chain-of-Thought pipeline to guide LLMs in identifying the most appropriate role-permission pair for the subject contract and subsequently generating a suitable patch. This patch will then undergo a validity and effectiveness check. To evaluate ACFIX, we built the first benchmark dataset of 118 real-world AC vulnerabilities, and our evaluation revealed that ACFIX successfully repaired 94.92% of them. This represents a significant improvement compared to the baseline GPT-4, which achieved only 52.54%.
Abstract（参考訳）: スマートコントラクトは、アクセス制御(AC)脆弱性が特に重要な、さまざまなセキュリティ問題の影響を受けやすい。既存の研究では複数の検出ツールが提案されているが、スマートコントラクトにおけるAC脆弱性の自動的かつ適切な修復は依然として課題である。通常テンプレートベースのアプローチで固定される、既存の修復ツールで一般的にサポートされている脆弱性タイプとは異なり、ACの主な障害は、人間レベルのインテリジェンスを必要とするタスクである適切なパッチコードを生成するためのAC関連のソースコードの長いリストの中で、適切な役割やパーミッションを特定することである。大規模言語モデル(LLM)の最近の進歩を生かして、最先端のGPT-4モデルを採用し、ACFIXと呼ばれる新しいアプローチで拡張する。重要な洞察は、コード機能の主要なカテゴリに共通するACプラクティスをマイニングし、それを使って、同様の機能でコードを修正するのにLLMをガイドできるということです。この目的のために、ACFIXはオフラインとオンラインの両方のフェーズを含む。まず、オフラインフェーズにおいて、ACFIXは344,251のオンチェーン契約から共通ロールベースアクセス制御(RBAC)のプラクティスの分類をマイニングし、上位1000組から49のロールパーミッションペアを分類する。第2に、ACFIXは、契約全体にわたるAC関連要素を追跡し、このコンテキスト情報とChain-of-Thoughtパイプラインを使用して、対象契約に対する最も適切なロールパーミッションペアを特定し、その後、適切なパッチを生成する。このパッチは有効性と有効性をチェックする。 ACFIXを評価するために、118個の実世界のAC脆弱性のベンチマークデータセットを構築し、ACFIXが94.92%の修正に成功したことを明らかにした。これは、ベースラインの GPT-4 に比べて大幅に改善され、52.54% しか達成されなかった。

関連論文リスト

Fixing Security Vulnerabilities with AI in OSS-Fuzz [9.730566646484304]
OSS-Fuzzは、オープンソースシステムの継続的な検証のための最も重要で広く使用されているインフラである。セキュリティ脆弱性を修正するために、よく知られたAutoCodeRoverエージェントをカスタマイズします。 OSS-Fuzz脆弱性データを用いた経験から,LSMエージェントの自律性はセキュリティパッチの成功に有用であることがわかった。
論文参考訳（メタデータ） (2024-11-03T16:20:32Z)
ContractTinker: LLM-Empowered Vulnerability Repair for Real-World Smart Contracts [8.756175353426304]
スマートコントラクトは、特に現実世界の脆弱性に直面している場合、攻撃者によって悪用される可能性がある。このリスクを軽減するため、開発者はプロジェクトのデプロイ前に潜在的な脆弱性を特定するために、サードパーティの監査サービスに依存することが多い。既存のパターンベースの修復ツールは、高レベルのセマンティック理解が欠如しているために、現実世界の脆弱性に対処できないことが多い。
論文参考訳（メタデータ） (2024-09-15T08:24:01Z)
HexaCoder: Secure Code Generation via Oracle-Guided Synthetic Training Data [60.75578581719921]
大規模言語モデル(LLM)は、自動コード生成に大きな可能性を示している。最近の研究は、多くのLLM生成コードが深刻なセキュリティ脆弱性を含んでいることを強調している。我々は,LLMがセキュアなコードを生成する能力を高めるための新しいアプローチであるHexaCoderを紹介する。
論文参考訳（メタデータ） (2024-09-10T12:01:43Z)
Automated Software Vulnerability Patching using Large Language Models [24.958856670970366]
我々は、事前訓練された大規模言語モデル(LLM)のパワーとメリットを活用して、自動脆弱性パッチを可能にする。脆弱なコード動作を効果的に推論するために,LLMに適応的なプロンプトを導入する。ゼロデイ脆弱性を含む実世界の脆弱性コードに対するLLMの評価は、既存のプロンプト法と最先端の非LLM技術の両方に優れた性能を示す。
論文参考訳（メタデータ） (2024-08-24T14:51:50Z)
LLM-Enhanced Static Analysis for Precise Identification of Vulnerable OSS Versions [12.706661324384319]
オープンソースソフトウェア(OSS)は、そのコラボレーティブな開発モデルとコスト効果の性質から、人気が高まっている。開発プロジェクトにおける特定のソフトウェアバージョンの採用は、これらのバージョンが脆弱性をもたらす場合にセキュリティリスクをもたらす可能性がある。脆弱性のあるバージョンを識別する現在の方法は、通常、事前に定義されたルールで静的解析を使用して、脆弱性パッチに関わるコードを分析してトレースする。本稿では,C/C++で記述されたOSSの脆弱なバージョンを特定するために,Vercationを提案する。
論文参考訳（メタデータ） (2024-08-14T06:43:06Z)
Adaptive Hierarchical Certification for Segmentation using Randomized Smoothing [87.48628403354351]
機械学習の認証は、特定の条件下では、敵対的なサンプルが特定の範囲内でモデルを回避できないことを証明している。セグメンテーションの一般的な認証方法は、平らな粒度のクラスを使い、モデルの不確実性による高い断続率をもたらす。本稿では,複数レベルの階層内で画素を認証し,不安定なコンポーネントに対して粗いレベルに適応的に認証を緩和する,新しい,より実用的な設定を提案する。
論文参考訳（メタデータ） (2024-02-13T11:59:43Z)
A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
論文参考訳（メタデータ） (2024-01-19T14:52:04Z)
Fake Alignment: Are LLMs Really Aligned Well? [91.26543768665778]
本研究では,複数質問とオープンエンド質問の相違点について検討した。ジェイルブレイク攻撃パターンの研究にインスパイアされた我々は、これが不一致の一般化によって引き起こされたと論じている。
論文参考訳（メタデータ） (2023-11-10T08:01:23Z)
Two Timin': Repairing Smart Contracts With A Two-Layered Approach [3.2154249558826846]
本稿では,スマートコントラクトの分類と修復のための新しい2層フレームワークを提案する。 Slitherの脆弱性レポートはソースコードと組み合わせて、トレーニング済みのRandomForestClassifier(RFC)とLarge Language Models(LLM)に渡される。実験は、微調整および急速駆動LLMの有効性を実証した。
論文参考訳（メタデータ） (2023-09-14T16:37:23Z)
Safe RAN control: A Symbolic Reinforcement Learning Approach [62.997667081978825]
本稿では,無線アクセスネットワーク(RAN)アプリケーションの安全管理のためのシンボル強化学習(SRL)アーキテクチャを提案する。我々は、ユーザが所定のセルネットワークトポロジに対して高レベルの論理的安全性仕様を指定できる純粋に自動化された手順を提供する。ユーザがシステムに意図仕様を設定するのを支援するために開発されたユーザインターフェース(UI)を導入し、提案するエージェントの動作の違いを検査する。
論文参考訳（メタデータ） (2021-06-03T16:45:40Z)
ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning [80.85273827468063]
既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。 ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
論文参考訳（メタデータ） (2021-03-23T15:04:44Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。