論文の概要: Detecting Hard-Coded Credentials in Software Repositories via LLMs

• arxiv url: http://arxiv.org/abs/2506.13090v1
• Date: Mon, 16 Jun 2025 04:33:48 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-06-17 17:28:47.487071
• Title: Detecting Hard-Coded Credentials in Software Repositories via LLMs
• Title（参考訳）: LLMによるソフトウェアリポジトリのハードコードクレデンシャルの検出
• Authors: Chidera Biringa, Gokhan Kul,
• Abstract要約: ソフトウェア開発者は、パスワード、ジェネリックシークレット、プライベートキー、ソフトウェアリポジトリのジェネリックトークンなどの認証情報をハードコードすることが多い。 これらの認証は、潜在的な敵によって悪用され、バックドア攻撃のような悪意ある攻撃を行うために攻撃面を生成する。 最近の検出では、埋め込みモデルを用いてテキスト認証をベクトル化し、予測のために分類器に渡す。 我々のモデルは、ベンチマークデータセットのF1測定値において、現在の最先端よりも13%優れています。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Software developers frequently hard-code credentials such as passwords, generic secrets, private keys, and generic tokens in software repositories, even though it is strictly advised against due to the severe threat to the security of the software. These credentials create attack surfaces exploitable by a potential adversary to conduct malicious exploits such as backdoor attacks. Recent detection efforts utilize embedding models to vectorize textual credentials before passing them to classifiers for predictions. However, these models struggle to discriminate between credentials with contextual and complex sequences resulting in high false positive predictions. Context-dependent Pre-trained Language Models (PLMs) or Large Language Models (LLMs) such as Generative Pre-trained Transformers (GPT) tackled this drawback by leveraging the transformer neural architecture capacity for self-attention to capture contextual dependencies between words in input sequences. As a result, GPT has achieved wide success in several natural language understanding endeavors. Hence, we assess LLMs to represent these observations and feed extracted embedding vectors to a deep learning classifier to detect hard-coded credentials. Our model outperforms the current state-of-the-art by 13% in F1 measure on the benchmark dataset. We have made all source code and data publicly available to facilitate the reproduction of all results presented in this paper.
• Abstract（参考訳）: ソフトウェア開発者は、パスワード、ジェネリックシークレット、プライベートキー、ジェネリックトークンなどの認証情報をソフトウェアリポジトリでハードコードすることが多い。 これらの認証は、潜在的な敵によって悪用され、バックドア攻撃のような悪意ある悪用を行うために攻撃面を生成する。 最近の検出では、埋め込みモデルを使用してテキスト認証をベクトル化し、予測のために分類器に渡す。 しかし、これらのモデルでは、文脈的および複雑なシーケンスによる認証情報の識別に苦慮し、偽陽性の予測が高くなる。 生成事前学習変換器(GPT)のような文脈依存型事前学習言語モデル(PLMs)や大規模言語モデル(LLMs)はこの欠点に対処し、トランスフォーマーのニューラルネットワーク能力を活用して、入力シーケンス中の単語間のコンテキスト依存性をキャプチャする。 その結果、GPTはいくつかの自然言語理解努力で大きな成功を収めた。 そこで我々は,これらの観測結果を表すためにLLMを評価し,抽出した埋め込みベクトルを深層学習分類器に供給し,ハードコードされた認証情報を検出する。 我々のモデルは、ベンチマークデータセットのF1測定値において、現在の最先端よりも13%優れています。 本論文で提示したすべての結果の再現を容易にするために,すべてのソースコードとデータを公開しました。

関連論文リスト

• Hey, That's My Data! Label-Only Dataset Inference in Large Language Models [63.35066172530291]
  CatShiftはラベルのみのデータセット推論フレームワークである。 LLMは、新しいデータに晒されたとき、学習した知識を上書きする傾向にある。
  論文  参考訳（メタデータ） (2025-06-06T13:02:59Z)
• Your Language Model Can Secretly Write Like Humans: Contrastive Paraphrase Attacks on LLM-Generated Text Detectors [65.27124213266491]
  テキスト検出を効果的に欺く訓練不要な方法である textbfContrastive textbfParaphrase textbfAttack (CoPA) を提案する。 CoPAは、大規模言語モデルによって生成される人間のような分布とは対照的に、補助的な機械的な単語分布を構築している。 我々の理論的分析は、提案された攻撃の優越性を示唆している。
  論文  参考訳（メタデータ） (2025-05-21T10:08:39Z)
• Large Language Models Can Verbatim Reproduce Long Malicious Sequences [23.0516001201445]
  機械学習モデルに対するバックドア攻撃は、広く研究されている。 本稿では,大規模言語モデルにおけるバックドア攻撃の概念を再検討する。 ターゲット入力のトリガによって、$leq100$のハードコードキーを含む任意の応答を再生できることが判明した。
  論文  参考訳（メタデータ） (2025-03-21T23:24:49Z)
• SecEncoder: Logs are All You Need in Security [8.591459170396698]
  本稿では,セキュリティログを用いて事前トレーニングした,特殊な小言語モデルSecEncoderを紹介する。 実験の結果,SecEncoder は BERTa-v3-large や OpenAI の Embedding (emtext-ada) モデルなど,他の LM よりも優れていた。
  論文  参考訳（メタデータ） (2024-11-12T03:56:07Z)
• Security Vulnerability Detection with Multitask Self-Instructed Fine-Tuning of Large Language Models [8.167614500821223]
  脆弱性検出のためのMSIVD, マルチタスクによる自己指示型微調整を, チェーン・オブ・シント・プロンプトとLDMによる自己指示にインスパイアした。 実験の結果,MSIVDは高い性能を示し,LineVul(LLMベースの脆弱性検出ベースライン)はBigVulデータセットでは0.92点,PreciseBugsデータセットでは0.48点であった。
  論文  参考訳（メタデータ） (2024-06-09T19:18:05Z)
• Token-Level Adversarial Prompt Detection Based on Perplexity Measures and Contextual Information [67.78183175605761]
  大規模言語モデルは、敵の迅速な攻撃に影響を受けやすい。 この脆弱性は、LLMの堅牢性と信頼性に関する重要な懸念を浮き彫りにしている。 トークンレベルで敵のプロンプトを検出するための新しい手法を提案する。
  論文  参考訳（メタデータ） (2023-11-20T03:17:21Z)
• Memorization for Good: Encryption with Autoregressive Language Models [8.645826579841692]
  自己回帰言語モデル(SELM)を用いた最初の対称暗号アルゴリズムを提案する。 自己回帰的LMは任意のデータをコンパクトな実数値ベクトル(すなわち暗号化)にエンコードし、ランダムな部分空間最適化とgreedy復号によってベクトルを元のメッセージ(すなわち復号)に無作為に復号できることを示す。
  論文  参考訳（メタデータ） (2023-05-15T05:42:34Z)
• Sentence Embedding Leaks More Information than You Expect: Generative Embedding Inversion Attack to Recover the Whole Sentence [37.63047048491312]
  本稿では,文の埋め込みのみに基づいて入力シーケンスを再構築することを目的とした,ジェネレーティブな埋め込み反転攻撃(GEIA)を提案する。 言語モデルへのブラックボックスアクセスを考えると、文の埋め込みを初期トークンの表現として扱い、列を直接デコードするために強力なデコーダモデルを訓練または微調整する。
  論文  参考訳（メタデータ） (2023-05-04T17:31:41Z)
• CodeLMSec Benchmark: Systematically Evaluating and Finding Security Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
  自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。 これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。 この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
  論文  参考訳（メタデータ） (2023-02-08T11:54:07Z)
• Software Vulnerability Detection via Deep Learning over Disaggregated Code Graph Representation [57.92972327649165]
  この研究は、コードコーパスから安全でないパターンを自動的に学習するためのディープラーニングアプローチを探求する。 コードには解析を伴うグラフ構造が自然に認められるため,プログラムの意味的文脈と構造的規則性の両方を利用する新しいグラフニューラルネットワーク(GNN)を開発する。
  論文  参考訳（メタデータ） (2021-09-07T21:24:36Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。