論文の概要: Automated Static Vulnerability Detection via a Holistic Neuro-symbolic Approach
- arxiv url: http://arxiv.org/abs/2504.16057v1
- Date: Tue, 22 Apr 2025 17:33:53 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-04-30 17:13:17.07361
- Title: Automated Static Vulnerability Detection via a Holistic Neuro-symbolic Approach
- Title(参考訳): ホロスティックなニューロシンボリックアプローチによる静的脆弱性の自動検出
- Authors: Penghui Li, Songchen Yao, Josef Sarfati Korich, Changhua Luo, Jianjia Yu, Yinzhi Cao, Junfeng Yang,
- Abstract要約: MoCQは、LLMの相補的な強度と古典的静的解析を組み合わせた、新しい全体論的神経象徴的枠組みである。
2つのプログラミング言語にまたがる7種類の脆弱性に対してMoCQを評価する。
MoCQは、現実世界のアプリケーションでこれまで知られていなかった7つの脆弱性を特定した。
- 参考スコア(独自算出の注目度): 17.872674648772616
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Static vulnerability detection is still a challenging problem and demands excessive human efforts, e.g., manual curation of good vulnerability patterns. None of prior works, including classic program analysis or Large Language Model (LLM)-based approaches, have fully automated such vulnerability pattern generations with reasonable detection accuracy. In this paper, we design and implement, MoCQ, a novel holistic neuro-symbolic framework that combines the complementary strengths of LLMs and classical static analysis to enable scalable vulnerability detection. The key insight is that MoCQ leverages an LLM to automatically extract vulnerability patterns and translate them into detection queries, and then on static analysis to refine such queries in a feedback loop and eventually execute them for analyzing large codebases and mining vulnerabilities. We evaluate MoCQ on seven types of vulnerabilities spanning two programming languages. We found MoCQ-generated queries uncovered at least 12 patterns that were missed by experts. On a ground truth dataset, MoCQ achieved comparable precision and recall compared to expert-crafted queries. Moreover, MoCQ has identified seven previously unknown vulnerabilities in real-world applications, demonstrating its practical effectiveness. We have responsibly disclosed them to the corresponding developers.
- Abstract(参考訳): 静的な脆弱性検出は依然として困難な問題であり、優れた脆弱性パターンを手作業でキュレーションするなど、過剰な人間の努力を必要とする。
古典的なプログラム分析やLLM(Large Language Model)ベースのアプローチを含む以前の研究は、適切な検出精度でそのような脆弱性パターン生成を完全に自動化したものではない。
本稿では,LLMの相補的強みと古典的静的解析を組み合わせ,スケーラブルな脆弱性検出を可能にする,新しい全体論的ニューロシンボリック・フレームワークであるMoCQを設計,実装する。
重要な洞察は、MoCQがLLMを利用して脆弱性パターンを自動的に抽出し、それらを検出クエリに変換し、静的解析によってフィードバックループでクエリを洗練し、最終的には大規模なコードベースを分析して脆弱性をマイニングする。
2つのプログラミング言語にまたがる7種類の脆弱性に対してMoCQを評価する。
MoCQで生成されたクエリは、専門家が見逃した少なくとも12のパターンを発見しました。
基礎的な真実のデータセットでは、MoCQは専門家が作成したクエリと同等の精度とリコールを達成した。
さらに、MoCQは現実世界のアプリケーションで既知の7つの脆弱性を特定し、その実用性を示している。
当社は、対応する開発者に対して責任を持ってそれを公開しています。
関連論文リスト
- Context-Enhanced Vulnerability Detection Based on Large Language Model [17.922081397554155]
本稿では,プログラム解析と大規模言語モデルを組み合わせたコンテキスト強化型脆弱性検出手法を提案する。
具体的には、プログラム分析を用いて、様々なレベルの抽象レベルで文脈情報を抽出し、無関係なノイズを除去する。
私たちのゴールは、脆弱性を正確に捉え、不要な複雑さを最小限に抑えるのに十分な詳細を提供することのバランスを取ることです。
論文 参考訳(メタデータ) (2025-04-23T16:54:16Z) - EXPLICATE: Enhancing Phishing Detection through Explainable AI and LLM-Powered Interpretability [44.2907457629342]
EXPLICATEは、三成分アーキテクチャによるフィッシング検出を強化するフレームワークである。
既存のディープラーニング技術と同等ですが、説明性が向上しています。
自動AIとフィッシング検出システムにおけるユーザ信頼の重大な隔たりに対処する。
論文 参考訳(メタデータ) (2025-03-22T23:37:35Z) - Benchmarking LLMs and LLM-based Agents in Practical Vulnerability Detection for Code Repositories [8.583591493627276]
JitVulは、各関数をその脆弱性導入とコミットの修正にリンクする脆弱性検出ベンチマークである。
思考・行動・観察と相互言語的文脈を活用するReAct Agentsは,良性のあるコードと区別する上で,LLMよりも優れた性能を示すことを示す。
論文 参考訳(メタデータ) (2025-03-05T15:22:24Z) - Backdoor Attacks against No-Reference Image Quality Assessment Models via a Scalable Trigger [76.36315347198195]
No-Reference Image Quality Assessment (NR-IQA) はコンピュータビジョンシステムの評価と最適化において重要な役割を果たしている。
近年の研究では、NR-IQAモデルが敵攻撃の影響を受けやすいことが示されている。
NR-IQA(BAIQA)に対する新規中毒性バックドアアタックを報告した。
論文 参考訳(メタデータ) (2024-12-10T08:07:19Z) - AutoPT: How Far Are We from the End2End Automated Web Penetration Testing? [54.65079443902714]
LLMによって駆動されるPSMの原理に基づく自動浸透試験エージェントであるAutoPTを紹介する。
以上の結果から, AutoPT は GPT-4o ミニモデル上でのベースラインフレームワーク ReAct よりも優れていた。
論文 参考訳(メタデータ) (2024-11-02T13:24:30Z) - Detecting and Understanding Vulnerabilities in Language Models via Mechanistic Interpretability [44.99833362998488]
大規模言語モデル(LLM)は、幅広いタスクで素晴らしいパフォーマンスを示している。
特にLSMは敵攻撃に弱いことが知られており、入力に対する非受容的な変更はモデルの出力を誤解させる可能性がある。
本稿では,メカニスティック・インタプリタビリティ(MI)技術に基づく手法を提案する。
論文 参考訳(メタデータ) (2024-07-29T09:55:34Z) - Exploring Automatic Cryptographic API Misuse Detection in the Era of LLMs [60.32717556756674]
本稿では,暗号誤用の検出において,大規模言語モデルを評価するための体系的評価フレームワークを提案する。
11,940個のLCM生成レポートを詳細に分析したところ、LSMに固有の不安定性は、報告の半数以上が偽陽性になる可能性があることがわかった。
最適化されたアプローチは、従来の手法を超え、確立されたベンチマークでこれまで知られていなかった誤用を明らかにすることで、90%近い顕著な検出率を達成する。
論文 参考訳(メタデータ) (2024-07-23T15:31:26Z) - AutoDetect: Towards a Unified Framework for Automated Weakness Detection in Large Language Models [95.09157454599605]
大規模言語モデル(LLM)はますます強力になってきていますが、それでも顕著ですが微妙な弱点があります。
従来のベンチマークアプローチでは、特定のモデルの欠陥を徹底的に特定することはできない。
さまざまなタスクにまたがるLLMの弱点を自動的に露呈する統合フレームワークであるAutoDetectを導入する。
論文 参考訳(メタデータ) (2024-06-24T15:16:45Z) - Generalization-Enhanced Code Vulnerability Detection via Multi-Task Instruction Fine-Tuning [16.54022485688803]
VulLLMは、マルチタスク学習をLarge Language Models (LLM)と統合して、ディープシークな脆弱性機能を効果的にマイニングする新しいフレームワークである。
6つの大きなデータセットで実施された実験は、VulLLMが有効性、一般化、堅牢性という観点から7つの最先端モデルを上回ることを示した。
論文 参考訳(メタデータ) (2024-06-06T03:29:05Z) - How Far Have We Gone in Vulnerability Detection Using Large Language
Models [15.09461331135668]
包括的な脆弱性ベンチマークであるVulBenchを紹介します。
このベンチマークは、幅広いCTF課題と実世界のアプリケーションから高品質なデータを集約する。
いくつかのLSMは、脆弱性検出における従来のディープラーニングアプローチよりも優れていることがわかった。
論文 参考訳(メタデータ) (2023-11-21T08:20:39Z) - ReEval: Automatic Hallucination Evaluation for Retrieval-Augmented Large Language Models via Transferable Adversarial Attacks [91.55895047448249]
本稿では,LLMベースのフレームワークであるReEvalについて述べる。
本稿では、ChatGPTを用いてReEvalを実装し、2つの人気のあるオープンドメインQAデータセットのバリエーションを評価する。
我々の生成したデータは人間可読であり、大きな言語モデルで幻覚を引き起こすのに役立ちます。
論文 参考訳(メタデータ) (2023-10-19T06:37:32Z) - QADYNAMICS: Training Dynamics-Driven Synthetic QA Diagnostic for
Zero-Shot Commonsense Question Answering [48.25449258017601]
State-of-the-artはCommonSense Knowledge Basesから構築されたQAペア上での微調整言語モデルにアプローチする。
本稿では,QA診断と改善のためのトレーニング動的フレームワークQADYNAMICSを提案する。
論文 参考訳(メタデータ) (2023-10-17T14:27:34Z) - A Survey on Automated Software Vulnerability Detection Using Machine
Learning and Deep Learning [19.163031235081565]
近年、ソースコードの脆弱性を検出する機械学習(ML)とディープラーニング(DL)ベースのモデルが提示されている。
既存の研究のギャップを見つけることは困難であり、総合的な調査をせずに将来の改善の可能性を見出すのは難しいかもしれない。
この作業は、ML/DLベースのソースコードレベルソフトウェア脆弱性検出アプローチの様々な特徴を特徴付けるための体系的な調査を提示することで、そのギャップに対処する。
論文 参考訳(メタデータ) (2023-06-20T16:51:59Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。