論文の概要: LibVulnWatch: A Deep Assessment Agent System and Leaderboard for Uncovering Hidden Vulnerabilities in Open-Source AI Libraries

• arxiv url: http://arxiv.org/abs/2505.08842v1
• Date: Tue, 13 May 2025 12:58:11 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-05-15 21:44:09.254
• Title: LibVulnWatch: A Deep Assessment Agent System and Leaderboard for Uncovering Hidden Vulnerabilities in Open-Source AI Libraries
• Title（参考訳）: LibVulnWatch: オープンソースのAIライブラリの隠れた脆弱性を明らかにするためのディープアセスメントエージェントシステムとリーダボード
• Authors: Zekun Wu, Seonglae Cho, Umar Mohammed, Cristian Munoz, Kleyton Costa, Xin Guan, Theo King, Ze Wang, Emre Kazim, Adriano Koshiyama,
• Abstract要約: LibVulnWatchは、オープンソースのAIライブラリのためのグラフベースのエージェントアセスメントフレームワークである。 5つの重要なドメインにまたがって、ガバナンスに沿ったスコアを生成する。 OpenSSF Scorecardチェックの88%をカバーし、ライブラリ毎に19のリスクを発生させる。
• 参考スコア（独自算出の注目度）: 11.331334831883058
• License: http://creativecommons.org/licenses/by-nc-sa/4.0/
• Abstract: Open-source AI libraries are foundational to modern AI systems but pose significant, underexamined risks across security, licensing, maintenance, supply chain integrity, and regulatory compliance. We present LibVulnWatch, a graph-based agentic assessment framework that performs deep, source-grounded evaluations of these libraries. Built on LangGraph, the system coordinates a directed acyclic graph of specialized agents to extract, verify, and quantify risk using evidence from trusted sources such as repositories, documentation, and vulnerability databases. LibVulnWatch generates reproducible, governance-aligned scores across five critical domains, publishing them to a public leaderboard for longitudinal ecosystem monitoring. Applied to 20 widely used libraries, including ML frameworks, LLM inference engines, and agent orchestration tools, our system covers up to 88% of OpenSSF Scorecard checks while uncovering up to 19 additional risks per library. These include critical Remote Code Execution (RCE) vulnerabilities, absent Software Bills of Materials (SBOMs), licensing constraints, undocumented telemetry, and widespread gaps in regulatory documentation and auditability. By translating high-level governance principles into practical, verifiable metrics, LibVulnWatch advances technical AI governance with a scalable, transparent mechanism for continuous supply chain risk assessment and informed library selection.
• Abstract（参考訳）: オープンソースのAIライブラリは、現代のAIシステムに基礎を置いているが、セキュリティ、ライセンス、メンテナンス、サプライチェーンの整合性、規制の遵守など、重大な、過小評価されるリスクを伴っている。 グラフベースのエージェント評価フレームワークであるLibVulnWatchについて述べる。 LangGraph上に構築されたこのシステムは、特殊なエージェントの非循環グラフをコーディネートして、リポジトリやドキュメント、脆弱性データベースといった信頼できるソースからの証拠を使用してリスクを抽出し、検証し、定量化する。 LibVulnWatchは、5つの重要なドメインにまたがって再現可能なガバナンス整合スコアを生成し、縦断的なエコシステム監視のための公開リーダボードに公開する。 MLフレームワーク、LLM推論エンジン、エージェントオーケストレーションツールを含む20の広く使用されているライブラリに適用すると、当社のシステムはOpenSSF Scorecardチェックの88%をカバーし、ライブラリ毎に19のリスクを追加しています。 これには、重要なリモートコード実行(RCE)の脆弱性、Software Bills of Materials(SBOM)の欠如、ライセンス制限、文書化されていないテレメトリ、規制文書と監査可能性の幅広いギャップが含まれる。 高レベルのガバナンス原則を実用的で検証可能なメトリクスに変換することで、LibVulnWatchは、継続的サプライチェーンリスク評価と情報ライブラリ選択のためのスケーラブルで透明なメカニズムによって、技術的AIガバナンスを前進させる。

関連論文リスト

• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
  ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。 我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
  論文  参考訳（メタデータ） (2024-05-03T07:18:45Z)
• A Survey of Third-Party Library Security Research in Application Software [3.280510821619164]
  サードパーティのライブラリが広く使われるようになると、関連するセキュリティリスクと潜在的な脆弱性がますます顕在化している。 悪意のある攻撃者は、これらの脆弱性を利用してシステムに侵入したり、不正な操作を行ったり、機密情報を盗んだりすることができる。 ソフトウェアにおけるサードパーティのライブラリの研究は、この増大するセキュリティ問題に対処する上で、最重要課題となる。
  論文  参考訳（メタデータ） (2024-04-27T16:35:02Z)
• One for All and All for One: GNN-based Control-Flow Attestation for Embedded Devices [16.425360892610986]
  Control-Flow (CFA) は、エンティティ(検証者)がリモートコンピュータシステム上でのコード実行の整合性を検証するためのセキュリティサービスである。 既存のCFAスキームは、証明者の内部状態へのアクセスを要求するなど、非現実的な仮定に悩まされる。 RAGEは、最小限の要件を持つ、新しくて軽量なCFAアプローチです。
  論文  参考訳（メタデータ） (2024-03-12T10:00:06Z)
• A Landscape Study of Open Source and Proprietary Tools for Software Bill of Materials (SBOM) [3.1190983209295076]
  Software Bill of Materials (SBOM) は、アプリケーションで使用されるすべてのサードパーティのコンポーネントと依存関係を在庫するリポジトリである。 最近のサプライチェーンの侵害は、ソフトウェアのセキュリティと脆弱性のリスクを高める緊急の必要性を浮き彫りにしている。 本研究では,SBOMに関連するオープンソースおよびプロプライエタリツールの現在の状況を評価するための実証分析を行う。
  論文  参考訳（メタデータ） (2024-02-17T00:36:20Z)
• Identifying Vulnerable Third-Party Java Libraries from Textual Descriptions of Vulnerabilities and Libraries [15.573551625937556]
  VulLibMinerは、脆弱性とライブラリの両方のテキスト記述から、脆弱性のあるライブラリを最初に識別する。 VulLibMinerの評価には,VeraJavaというデータセットと当社のVulLibデータセットの両方で脆弱性のあるライブラリを識別する,最先端/実践の4つのアプローチを用いる。
  論文  参考訳（メタデータ） (2023-07-17T02:54:07Z)
• Analyzing Maintenance Activities of Software Libraries [55.2480439325792]
  近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。 産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
  論文  参考訳（メタデータ） (2023-06-09T16:51:25Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)
• Detecting Security Fixes in Open-Source Repositories using Static Code Analyzers [8.716427214870459]
  機械学習(ML)アプリケーションにおけるコミットを表現する機能として,既製の静的コードアナライザの出力がどの程度使用されるかを検討する。 埋め込みの構築やMLモデルをトレーニングして、脆弱性修正を含むソースコードコミットを自動的に識別する方法について検討する。 当社のメソッドとcommit2vecの組み合わせは,脆弱性を修正するコミットの自動識別において,最先端技術よりも明確な改善であることがわかった。
  論文  参考訳（メタデータ） (2021-05-07T15:57:17Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。