論文の概要: LibVulnWatch: A Deep Assessment Agent System and Leaderboard for Uncovering Hidden Vulnerabilities in Open-Source AI Libraries
- arxiv url: http://arxiv.org/abs/2505.08842v2
- Date: Mon, 30 Jun 2025 16:31:53 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-07-01 15:08:39.342738
- Title: LibVulnWatch: A Deep Assessment Agent System and Leaderboard for Uncovering Hidden Vulnerabilities in Open-Source AI Libraries
- Title(参考訳): LibVulnWatch: オープンソースのAIライブラリの隠れた脆弱性を明らかにするためのディープアセスメントエージェントシステムとリーダボード
- Authors: Zekun Wu, Seonglae Cho, Umar Mohammed, Cristian Munoz, Kleyton Costa, Xin Guan, Theo King, Ze Wang, Emre Kazim, Adriano Koshiyama,
- Abstract要約: オープンソースのAIライブラリは、現代のAIシステムの基礎となっているが、セキュリティ、ライセンス、メンテナンス、サプライチェーンの整合性、規制コンプライアンスといった、重大な、過小評価されたリスクがある。
LibVulnWatchは,大規模言語モデルとエージェントの最近の進歩を利用して,これらのライブラリの深いエビデンスに基づく評価を行うシステムである。
- 参考スコア(独自算出の注目度): 11.331334831883058
- License: http://creativecommons.org/licenses/by-nc-sa/4.0/
- Abstract: Open-source AI libraries are foundational to modern AI systems, yet they present significant, underexamined risks spanning security, licensing, maintenance, supply chain integrity, and regulatory compliance. We introduce LibVulnWatch, a system that leverages recent advances in large language models and agentic workflows to perform deep, evidence-based evaluations of these libraries. Built on a graph-based orchestration of specialized agents, the framework extracts, verifies, and quantifies risk using information from repositories, documentation, and vulnerability databases. LibVulnWatch produces reproducible, governance-aligned scores across five critical domains, publishing results to a public leaderboard for ongoing ecosystem monitoring. Applied to 20 widely used libraries, including ML frameworks, LLM inference engines, and agent orchestration tools, our approach covers up to 88% of OpenSSF Scorecard checks while surfacing up to 19 additional risks per library, such as critical RCE vulnerabilities, missing SBOMs, and regulatory gaps. By integrating advanced language technologies with the practical demands of software risk assessment, this work demonstrates a scalable, transparent mechanism for continuous supply chain evaluation and informed library selection.
- Abstract(参考訳): オープンソースのAIライブラリは、現代のAIシステムの基礎となっているが、セキュリティ、ライセンス、メンテナンス、サプライチェーンの整合性、規制コンプライアンスといった、重大な、過小評価されたリスクがある。
LibVulnWatchは,大規模言語モデルやエージェントワークフローの最近の進歩を活用して,これらのライブラリの深いエビデンスに基づく評価を行うシステムである。
特殊なエージェントのグラフベースのオーケストレーションに基づいて構築されたこのフレームワークは、リポジトリやドキュメント、脆弱性データベースからの情報を使ってリスクを抽出し、検証し、定量化する。
LibVulnWatchは、5つの重要なドメインにまたがって再現可能な、ガバナンスに沿ったスコアを生成し、継続的なエコシステム監視のための公開リーダボードに結果を公開する。
MLフレームワーク、LLM推論エンジン、エージェントオーケストレーションツールを含む20の広く使用されているライブラリに適用すると、当社のアプローチは、OpenSSF Scorecardチェックの最大88%をカバーし、重要なRCE脆弱性、SBOMの欠如、規制ギャップなど、ライブラリ毎に19のリスクを突破します。
本研究は,高度な言語技術とソフトウェアリスク評価の実践的要求を統合することで,継続的なサプライチェーン評価と情報ライブラリ選択のためのスケーラブルで透明なメカニズムを実証する。
関連論文リスト
- The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。
我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
論文 参考訳(メタデータ) (2024-05-03T07:18:45Z) - A Survey of Third-Party Library Security Research in Application Software [3.280510821619164]
サードパーティのライブラリが広く使われるようになると、関連するセキュリティリスクと潜在的な脆弱性がますます顕在化している。
悪意のある攻撃者は、これらの脆弱性を利用してシステムに侵入したり、不正な操作を行ったり、機密情報を盗んだりすることができる。
ソフトウェアにおけるサードパーティのライブラリの研究は、この増大するセキュリティ問題に対処する上で、最重要課題となる。
論文 参考訳(メタデータ) (2024-04-27T16:35:02Z) - One for All and All for One: GNN-based Control-Flow Attestation for
Embedded Devices [16.425360892610986]
Control-Flow (CFA) は、エンティティ(検証者)がリモートコンピュータシステム上でのコード実行の整合性を検証するためのセキュリティサービスである。
既存のCFAスキームは、証明者の内部状態へのアクセスを要求するなど、非現実的な仮定に悩まされる。
RAGEは、最小限の要件を持つ、新しくて軽量なCFAアプローチです。
論文 参考訳(メタデータ) (2024-03-12T10:00:06Z) - A Landscape Study of Open Source and Proprietary Tools for Software Bill
of Materials (SBOM) [3.1190983209295076]
Software Bill of Materials (SBOM) は、アプリケーションで使用されるすべてのサードパーティのコンポーネントと依存関係を在庫するリポジトリである。
最近のサプライチェーンの侵害は、ソフトウェアのセキュリティと脆弱性のリスクを高める緊急の必要性を浮き彫りにしている。
本研究では,SBOMに関連するオープンソースおよびプロプライエタリツールの現在の状況を評価するための実証分析を行う。
論文 参考訳(メタデータ) (2024-02-17T00:36:20Z) - Identifying Vulnerable Third-Party Java Libraries from Textual
Descriptions of Vulnerabilities and Libraries [15.573551625937556]
VulLibMinerは、脆弱性とライブラリの両方のテキスト記述から、脆弱性のあるライブラリを最初に識別する。
VulLibMinerの評価には,VeraJavaというデータセットと当社のVulLibデータセットの両方で脆弱性のあるライブラリを識別する,最先端/実践の4つのアプローチを用いる。
論文 参考訳(メタデータ) (2023-07-17T02:54:07Z) - Analyzing Maintenance Activities of Software Libraries [55.2480439325792]
近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。
産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
論文 参考訳(メタデータ) (2023-06-09T16:51:25Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - Detecting Security Fixes in Open-Source Repositories using Static Code
Analyzers [8.716427214870459]
機械学習(ML)アプリケーションにおけるコミットを表現する機能として,既製の静的コードアナライザの出力がどの程度使用されるかを検討する。
埋め込みの構築やMLモデルをトレーニングして、脆弱性修正を含むソースコードコミットを自動的に識別する方法について検討する。
当社のメソッドとcommit2vecの組み合わせは,脆弱性を修正するコミットの自動識別において,最先端技術よりも明確な改善であることがわかった。
論文 参考訳(メタデータ) (2021-05-07T15:57:17Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。