論文の概要: ContractTinker: LLM-Empowered Vulnerability Repair for Real-World Smart Contracts
- arxiv url: http://arxiv.org/abs/2409.09661v1
- Date: Sun, 15 Sep 2024 08:24:01 GMT
- ステータス: 処理完了
- システム内更新日: 2024-09-17 19:48:24.057455
- Title: ContractTinker: LLM-Empowered Vulnerability Repair for Real-World Smart Contracts
- Title(参考訳): ContractTinker: LLMを利用した実世界のスマートコントラクトの脆弱性修復
- Authors: Che Wang, Jiashuo Zhang, Jianbo Gao, Libin Xia, Zhi Guan, Zhong Chen,
- Abstract要約: スマートコントラクトは、特に現実世界の脆弱性に直面している場合、攻撃者によって悪用される可能性がある。
このリスクを軽減するため、開発者はプロジェクトのデプロイ前に潜在的な脆弱性を特定するために、サードパーティの監査サービスに依存することが多い。
既存のパターンベースの修復ツールは、高レベルのセマンティック理解が欠如しているために、現実世界の脆弱性に対処できないことが多い。
- 参考スコア(独自算出の注目度): 8.756175353426304
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Smart contracts are susceptible to being exploited by attackers, especially when facing real-world vulnerabilities. To mitigate this risk, developers often rely on third-party audit services to identify potential vulnerabilities before project deployment. Nevertheless, repairing the identified vulnerabilities is still complex and labor-intensive, particularly for developers lacking security expertise. Moreover, existing pattern-based repair tools mostly fail to address real-world vulnerabilities due to their lack of high-level semantic understanding. To fill this gap, we propose ContractTinker, a Large Language Models (LLMs)-empowered tool for real-world vulnerability repair. The key insight is our adoption of the Chain-of-Thought approach to break down the entire generation task into sub-tasks. Additionally, to reduce hallucination, we integrate program static analysis to guide the LLM. We evaluate ContractTinker on 48 high-risk vulnerabilities. The experimental results show that among the patches generated by ContractTinker, 23 (48%) are valid patches that fix the vulnerabilities, while 10 (21%) require only minor modifications. A video of ContractTinker is available at https://youtu.be/HWFVi-YHcPE.
- Abstract(参考訳): スマートコントラクトは、特に現実世界の脆弱性に直面している場合、攻撃者によって悪用される可能性がある。
このリスクを軽減するため、開発者はプロジェクトのデプロイ前に潜在的な脆弱性を特定するために、サードパーティの監査サービスに依存することが多い。
それでも、特定された脆弱性の修復はまだ複雑で、特にセキュリティの専門性に欠ける開発者にとっては、労働集約的だ。
さらに、既存のパターンベースの修復ツールは、高レベルのセマンティック理解が欠如しているために、現実世界の脆弱性に対処できないことが多い。
このギャップを埋めるために,我々は,LLM(Large Language Models)を組み込んだ実世界の脆弱性修復ツールであるContractTinkerを提案する。
重要な洞察は、生成タスク全体をサブタスクに分割するChain-of-Thoughtアプローチの採用です。
さらに,幻覚を減らすため,プログラム静的解析を統合してLCMを誘導する。
リスクの高い脆弱性48件について,ContractTinkerを評価した。
実験の結果、ContractTinkerが生成したパッチのうち、23(48%)が脆弱性を修正する有効なパッチであり、10(21%)は小さな修正のみを必要とすることがわかった。
ContractTinkerのビデオはhttps://youtu.be/HWFVi-YHcPEで公開されている。
関連論文リスト
- Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。
35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。
ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
論文 参考訳(メタデータ) (2024-11-12T01:55:51Z) - AgentHarm: A Benchmark for Measuring Harmfulness of LLM Agents [84.96249955105777]
LLMエージェントは誤用された場合、より大きなリスクを引き起こすが、その堅牢性は未発見のままである。
我々は, LLMエージェント誤用の研究を容易にするために, AgentHarmと呼ばれる新しいベンチマークを提案する。
主要なLLMは、ジェイルブレイクなしで悪意のあるエージェント要求に驚くほど準拠している。
論文 参考訳(メタデータ) (2024-10-11T17:39:22Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - How Well Do Large Language Models Serve as End-to-End Secure Code Producers? [42.119319820752324]
GPT-3.5 と GPT-4 の 4 つの LLM で生成されたコードの脆弱性を識別し,修復する能力について検討した。
4900のコードを手動または自動でレビューすることで、大きな言語モデルにはシナリオ関連セキュリティリスクの認識が欠けていることが判明した。
修復の1ラウンドの制限に対処するため,LLMにより安全なソースコード構築を促す軽量ツールを開発した。
論文 参考訳(メタデータ) (2024-08-20T02:42:29Z) - Static Application Security Testing (SAST) Tools for Smart Contracts: How Far Are We? [14.974832502863526]
近年,スマートコントラクトセキュリティの重要性が高まっている。
この問題に対処するため、スマートコントラクトの脆弱性を検出するために、多数の静的アプリケーションセキュリティテスト(SAST)ツールが提案されている。
本稿では,スマートコントラクトに対する45種類の脆弱性を含む,最新のきめ細かな分類法を提案する。
論文 参考訳(メタデータ) (2024-04-28T13:40:18Z) - Vulnerability Scanners for Ethereum Smart Contracts: A Large-Scale Study [44.25093111430751]
2023年だけでも、そのような脆弱性は数十億ドルを超える巨額の損失をもたらした。
スマートコントラクトの脆弱性を検出し、軽減するために、さまざまなツールが開発されている。
本研究では,既存のセキュリティスキャナの有効性と,現在も継続している脆弱性とのギャップについて検討する。
論文 参考訳(メタデータ) (2023-12-27T11:26:26Z) - Just-in-Time Detection of Silent Security Patches [7.840762542485285]
セキュリティパッチは黙秘される可能性がある。つまり、CVEのような包括的なアドバイザリを常に備えているわけではない。
この透明性の欠如により、ユーザーは利用可能なセキュリティアップデートを気にせず、攻撃者が未パッチの脆弱性を悪用する十分な機会を提供する。
本稿では,大規模言語モデル(LLM)を活用して,生成されたコード変更説明を用いてパッチ情報を拡張することを提案する。
論文 参考訳(メタデータ) (2023-12-02T22:53:26Z) - Two Timin': Repairing Smart Contracts With A Two-Layered Approach [3.2154249558826846]
本稿では,スマートコントラクトの分類と修復のための新しい2層フレームワークを提案する。
Slitherの脆弱性レポートはソースコードと組み合わせて、トレーニング済みのRandomForestClassifier(RFC)とLarge Language Models(LLM)に渡される。
実験は、微調整および急速駆動LLMの有効性を実証した。
論文 参考訳(メタデータ) (2023-09-14T16:37:23Z) - CONTRACTFIX: A Framework for Automatically Fixing Vulnerabilities in
Smart Contracts [12.68736241704817]
ContractFixは、脆弱なスマートコントラクトのためのセキュリティパッチを自動的に生成するフレームワークである。
ユーザーは、自動的にパッチを適用し、パッチされたコントラクトを検証するセキュリティ修正ツールとして使用することができる。
論文 参考訳(メタデータ) (2023-07-18T01:14:31Z) - Smart Contract and DeFi Security Tools: Do They Meet the Needs of
Practitioners? [10.771021805354911]
スマートコントラクトを狙った攻撃は増加しており、推定645億ドルの損失を生んでいる。
私たちは、目立った攻撃につながる可能性のある脆弱性を特定するために、自動セキュリティツールの有効性に光を当てることを目指しています。
このツールは、われわれのデータセットにおける攻撃のわずか8%を防げた可能性があり、23億ドルの損失のうち1億4900万ドルに相当する。
論文 参考訳(メタデータ) (2023-04-06T10:27:19Z) - ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep
Neural Network and Transfer Learning [80.85273827468063]
既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。
スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。
ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
論文 参考訳(メタデータ) (2021-03-23T15:04:44Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。