論文の概要: Automated Software Vulnerability Patching using Large Language Models
- arxiv url: http://arxiv.org/abs/2408.13597v1
- Date: Sat, 24 Aug 2024 14:51:50 GMT
- ステータス: 処理完了
- システム内更新日: 2024-08-27 18:49:22.177925
- Title: Automated Software Vulnerability Patching using Large Language Models
- Title(参考訳): 大規模言語モデルを用いたソフトウェア脆弱性の自動パッチ
- Authors: Yu Nong, Haoran Yang, Long Cheng, Hongxin Hu, Haipeng Cai,
- Abstract要約: 我々は、事前訓練された大規模言語モデル(LLM)のパワーとメリットを活用して、自動脆弱性パッチを可能にする。
脆弱なコード動作を効果的に推論するために,LLMに適応的なプロンプトを導入する。
ゼロデイ脆弱性を含む実世界の脆弱性コードに対するLLMの評価は、既存のプロンプト法と最先端の非LLM技術の両方に優れた性能を示す。
- 参考スコア(独自算出の注目度): 24.958856670970366
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Timely and effective vulnerability patching is essential for cybersecurity defense, for which various approaches have been proposed yet still struggle to generate valid and correct patches for real-world vulnerabilities. In this paper, we leverage the power and merits of pre-trained large language models (LLMs) to enable automated vulnerability patching using no test input/exploit evidence and without model training/fine-tuning. To elicit LLMs to effectively reason about vulnerable code behaviors, which is essential for quality patch generation, we introduce adaptive prompting on LLMs and instantiate the methodology as LLMPATCH, an automated LLM-based patching system. Our evaluation of LLMPATCH on real-world vulnerable code including zeroday vulnerabilities demonstrates its superior performance to both existing prompting methods and state-of-the-art non-LLM-based techniques (by 98.9% and 65.4% in F1 over the best baseline performance). LLMPATCH has also successfully patched 7 out of 11 zero-day vulnerabilities, including 2 that none of the four baselines compared were able to.
- Abstract(参考訳): サイバーセキュリティ防衛において、タイムリーで効果的な脆弱性パッチは必須であり、様々なアプローチが提案されているが、現実の脆弱性に対する有効かつ正確なパッチの生成には依然として苦労している。
本稿では,事前訓練済みの大規模言語モデル(LLM)のパワーとメリットを活用し,テスト入力/エクスロイトエビデンスやモデルトレーニング/ファインタニングを使わずに,自動脆弱性パッチを可能にする。
高品質なパッチ生成に不可欠な脆弱性のあるコード動作を効果的に推論するために,LLMに適応的なプロンプトを導入し,その方法論をLLMPATCH(LLMPATCH)としてインスタンス化する。
ゼロデイ脆弱性を含む現実世界の脆弱性コードに対するLLMPATCHの評価は、既存のプロンプト法と最先端の非LLMベースの技術の両方(F1の98.9%と65.4%)よりも優れた性能を示している。
LLMPATCHはまた、11のゼロデイ脆弱性のうち7つをパッチした。
関連論文リスト
- Evaluating Pre-Trained Models for Multi-Language Vulnerability Patching [3.220818227251765]
本稿では,事前学習型言語モデルであるCodeBERTとCodeT5の脆弱性パッチ自動適用の可能性について検討する。
これらのモデルの精度、計算効率、脆弱性のあるコードパッチの長さがパフォーマンスに与える影響について評価する。
論文 参考訳(メタデータ) (2025-01-13T13:51:05Z) - LLM4CVE: Enabling Iterative Automated Vulnerability Repair with Large Language Models [9.946058168276744]
大規模言語モデル(LLM)は、多くのソフトウェア欠陥が自動的にパッチを当てられる可能性を開放した。
実世界のコードで脆弱な関数を高い精度で堅牢に修正する反復パイプラインを提案する。
また,Llama 370Bでは,人間の検証による品質スコアが8.51/10,Llama 370Bでは20%に向上した。
論文 参考訳(メタデータ) (2025-01-07T00:21:42Z) - There are More Fish in the Sea: Automated Vulnerability Repair via Binary Templates [4.907610470063863]
本稿では,Javaバイナリに対するテンプレートベースの自動脆弱性修復手法を提案する。
Vul4Jデータセットの実験では、TemVURが11の脆弱性の修正に成功した。
TemVURの一般化性を評価するため、MaryVuls4Jデータセットをキュレートする。
論文 参考訳(メタデータ) (2024-11-27T06:59:45Z) - CRepair: CVAE-based Automatic Vulnerability Repair Technology [1.147605955490786]
ソフトウェア脆弱性は、現代のソフトウェアとそのアプリケーションデータの完全性、セキュリティ、信頼性に重大な脅威をもたらす。
脆弱性修復の課題に対処するため、研究者らは、学習に基づく自動脆弱性修復技術が広く注目を集めるなど、様々な解決策を提案している。
本稿では,システムコードのセキュリティ脆弱性を修正することを目的としたCVAEベースの自動脆弱性修復技術であるCRepairを提案する。
論文 参考訳(メタデータ) (2024-11-08T12:55:04Z) - AutoPT: How Far Are We from the End2End Automated Web Penetration Testing? [54.65079443902714]
LLMによって駆動されるPSMの原理に基づく自動浸透試験エージェントであるAutoPTを紹介する。
以上の結果から, AutoPT は GPT-4o ミニモデル上でのベースラインフレームワーク ReAct よりも優れていた。
論文 参考訳(メタデータ) (2024-11-02T13:24:30Z) - Iterative Self-Tuning LLMs for Enhanced Jailbreaking Capabilities [63.603861880022954]
本稿では,対戦型LDMをジェイルブレイク能力に富んだ反復的自己調整プロセスであるADV-LLMを紹介する。
我々のフレームワークは,様々なオープンソース LLM 上で ASR を100% 近く達成しながら,逆接接尾辞を生成する計算コストを大幅に削減する。
Llama3のみに最適化されているにもかかわらず、GPT-3.5では99%のASR、GPT-4では49%のASRを達成している。
論文 参考訳(メタデータ) (2024-10-24T06:36:12Z) - Defensive Prompt Patch: A Robust and Interpretable Defense of LLMs against Jailbreak Attacks [59.46556573924901]
本稿では,大規模言語モデル(LLM)のための新しいプロンプトベースの防御機構であるDPPを紹介する。
従来のアプローチとは異なり、DPP は LLM の高能率を維持しながら最小の攻撃成功率 (ASR) を達成するように設計されている。
LLAMA-2-7B-ChatおよびMistral-7B-Instruct-v0.2モデルによる実験結果から,DSPの堅牢性と適応性が確認された。
論文 参考訳(メタデータ) (2024-05-30T14:40:35Z) - Understanding the Effectiveness of Large Language Models in Detecting Security Vulnerabilities [12.82645410161464]
5つの異なるセキュリティデータセットから5,000のコードサンプルに対して、16の事前学習された大規模言語モデルの有効性を評価する。
全体として、LSMは脆弱性の検出において最も穏やかな効果を示し、データセットの平均精度は62.8%、F1スコアは0.71である。
ステップバイステップ分析を含む高度なプロンプト戦略は、F1スコア(平均0.18まで)で実世界のデータセット上でのLLMのパフォーマンスを著しく向上させることがわかった。
論文 参考訳(メタデータ) (2023-11-16T13:17:20Z) - PatchCURE: Improving Certifiable Robustness, Model Utility, and Computation Efficiency of Adversarial Patch Defenses [46.098482151215556]
敵パッチ攻撃に対する最先端の防御は、モデルユーティリティの限界低下によって、強力な証明可能な堅牢性を達成することができる。
この印象的なパフォーマンスは、通常、未定義のモデルに比べて10~100倍の推論時間計算コストがかかる。
本稿では,このトレードオフ問題に対処するためのPatchCUREという防衛フレームワークを提案する。
論文 参考訳(メタデータ) (2023-10-19T18:14:33Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - (De)Randomized Smoothing for Certifiable Defense against Patch Attacks [136.79415677706612]
我々は、所定の画像とパッチ攻撃サイズを保証する、パッチ攻撃に対する認証可能な防御を導入する。
本手法はランダム化スムースなロバスト性スキームの幅広いクラスに関係している。
その結果,CIFAR-10およびImageNetに対するパッチ攻撃に対する認証済みの防御技術が確立した。
論文 参考訳(メタデータ) (2020-02-25T08:39:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。