論文の概要: QLPro: Automated Code Vulnerability Discovery via LLM and Static Code Analysis Integration

• arxiv url: http://arxiv.org/abs/2506.23644v1
• Date: Mon, 30 Jun 2025 09:14:49 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-07-01 21:27:53.992
• Title: QLPro: Automated Code Vulnerability Discovery via LLM and Static Code Analysis Integration
• Title（参考訳）: QLPro: LLMによるコード脆弱性の自動検出と静的コード解析の統合
• Authors: Junze Hu, Xiangyu Jin, Yizhe Zeng, Yuling Liu, Yunpeng Li, Dan Du, Kaiyu Xie, Hongsong Zhu,
• Abstract要約: LLMと静的解析ツールを体系的に統合する脆弱性検出フレームワークであるQLProを紹介する。 62の脆弱性が確認されたGitHubから10のオープンソースプロジェクトからなる,新たなデータセットであるJavaTestを構築しました。 最先端の静的分析ツールであるCodeQLは、これらの脆弱性を24つしか検出していないが、QLProは41。
• 参考スコア（独自算出の注目度）: 12.021018529361026
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: We introduce QLPro, a vulnerability detection framework that systematically integrates LLMs and static analysis tools to enable comprehensive vulnerability detection across entire open-source projects.We constructed a new dataset, JavaTest, comprising 10 open-source projects from GitHub with 62 confirmed vulnerabilities. CodeQL, a state-of-the-art static analysis tool, detected only 24 of these vulnerabilities while QLPro detected 41. Furthermore, QLPro discovered 6 previously unknown vulnerabilities, 2 of which have been confirmed as 0-days.
• Abstract（参考訳）: LLMと静的解析ツールを体系的に統合して、オープンソースプロジェクト全体にわたって包括的な脆弱性検出を可能にする、脆弱性検出フレームワークであるQLProを紹介した。62の脆弱性が確認されたGitHubから10のオープンソースプロジェクトで構成される、新たなデータセットであるJavaTestを構築した。 最先端の静的分析ツールであるCodeQLは、これらの脆弱性を24つしか検出していないが、QLProは41。 さらにQLProは6つの既知の脆弱性を発見し、そのうち2つは0日間であると確認されている。

関連論文リスト

• SAVANT: Vulnerability Detection in Application Dependencies through Semantic-Guided Reachability Analysis [6.989158266868967]
  Java開発におけるオープンソースのサードパーティライブラリの依存関係の統合は、重大なセキュリティリスクをもたらす。 Savantは、セマンティックプリプロセッシングとLLMによるコンテキスト分析を組み合わせて、正確な脆弱性検出を行う。 Savantは83.8%の精度、73.8%のリコール、69.0%の精度、78.5%のF1スコアを達成し、最先端のSCAツールを上回っている。
  論文  参考訳（メタデータ） (2025-06-21T19:48:13Z)
• The Foundation Cracks: A Comprehensive Study on Bugs and Testing Practices in LLM Libraries [37.57398329330302]
  大規模言語モデル(LLM)ライブラリは、今日のAI革命を支える基盤インフラストラクチャとして登場した。 LLMエコシステムにおけるそれらの重要な役割にもかかわらず、これらのライブラリは、それら上に構築されたAIシステムの信頼性を脅かすような、頻繁な品質の問題とバグに直面している。 本稿では,近代LLMライブラリにおけるバグの特徴とテスト実践に関する総合的研究について紹介する。
  論文  参考訳（メタデータ） (2025-06-14T03:00:36Z)
• CyberGym: Evaluating AI Agents' Cybersecurity Capabilities with Real-World Vulnerabilities at Scale [46.76144797837242]
  大規模言語モデル(LLM)エージェントは、自律的なサイバーセキュリティタスクの処理において、ますます熟練している。 既存のベンチマークは不足していて、現実のシナリオをキャプチャできなかったり、スコープが限られていたりします。 我々はCyberGymを紹介した。CyberGymは1,507の現実世界の脆弱性を特徴とする大規模かつ高品質なサイバーセキュリティ評価フレームワークである。
  論文  参考訳（メタデータ） (2025-06-03T07:35:14Z)
• Automated Static Vulnerability Detection via a Holistic Neuro-symbolic Approach [17.872674648772616]
  本稿では,LLM(Large Language Model)と古典的脆弱性チェッカーの相補的長所を組み合わせた,新しいニューロシンボリック・フレームワークであるMoCQを紹介する。 MoCQは、専門家が開発したクエリと同等の精度とリコールを実現している。 MoCQはまた、専門家が見逃した46の新しい脆弱性パターンを明らかにした。
  論文  参考訳（メタデータ） (2025-04-22T17:33:53Z)
• Unveiling Security Weaknesses in Autonomous Driving Systems: An In-Depth Empirical Study [5.669686957839035]
  本研究は、オープンソースの自律運転システム(ADS)の繰り返しにおける潜在的なセキュリティの弱点について検討することを目的とする。 私たちは、GitHubのスター数とレベル4の自動運転機能に基づいて、Autoware、AirSim、Apolloの3つの代表的なオープンソースプロジェクトを選択しました。 CodeQLを使用して、これらのプロジェクトの複数のバージョンを分析して脆弱性を特定し、CWE-190やCWE-20といったCWEカテゴリに注目しました。
  論文  参考訳（メタデータ） (2025-02-27T01:57:53Z)
• Exploring Automatic Cryptographic API Misuse Detection in the Era of LLMs [60.32717556756674]
  本稿では,暗号誤用の検出において,大規模言語モデルを評価するための体系的評価フレームワークを提案する。 11,940個のLCM生成レポートを詳細に分析したところ、LSMに固有の不安定性は、報告の半数以上が偽陽性になる可能性があることがわかった。 最適化されたアプローチは、従来の手法を超え、確立されたベンチマークでこれまで知られていなかった誤用を明らかにすることで、90%近い顕著な検出率を達成する。
  論文  参考訳（メタデータ） (2024-07-23T15:31:26Z)
• Vul-RAG: Enhancing LLM-based Vulnerability Detection via Knowledge-level RAG [19.38891892396794]
  Vul-RAGによって生成された脆弱性知識は、手動検出精度を向上させるための高品質な説明として機能する。 Vul-RAGはまた、最近のLinuxカーネルリリースで既知の10のバグを6つのアサインされたCVEで検出できる。
  論文  参考訳（メタデータ） (2024-06-17T02:25:45Z)
• IRIS: LLM-Assisted Static Analysis for Detecting Security Vulnerabilities [14.188864624736938]
  大規模な言語モデル(LLM)は印象的なコード生成機能を示しているが、そのような脆弱性を検出するためにコードに対して複雑な推論を行うことはできない。 我々は,LLMと静的解析を体系的に組み合わせ,セキュリティ脆弱性検出のための全体リポジトリ推論を行うニューロシンボリックアプローチであるIRISを提案する。
  論文  参考訳（メタデータ） (2024-05-27T14:53:35Z)
• Efficiently Detecting Reentrancy Vulnerabilities in Complex Smart Contracts [35.26195628798847]
  既存の脆弱性検出ツールは、複雑なコントラクトにおける脆弱性の効率性や検出成功率の面では不十分である。 SliSEは、複雑なコントラクトに対するReentrancy脆弱性を検出する堅牢で効率的な方法を提供する。
  論文  参考訳（メタデータ） (2024-03-17T16:08:30Z)
• SliceLocator: Locating Vulnerable Statements with Graph-based Detectors [33.395068754566935]
  SliceLocatorは、すべての潜在的な脆弱性トリガリングステートメントから、最も重み付けされたフローパスを選択することで、最も関連性の高いテントフローを特定する。 SliceLocatorは、最先端の4つのGNNベースの脆弱性検知器で一貫して動作することを示す。
  論文  参考訳（メタデータ） (2024-01-05T10:15:04Z)
• REEF: A Framework for Collecting Real-World Vulnerabilities and Fixes [40.401211102969356]
  本稿では,REal-world vulnErabilities and Fixesをオープンソースリポジトリから収集するための自動収集フレームワークREEFを提案する。 脆弱性とその修正を収集する多言語クローラを開発し、高品質な脆弱性修正ペアをフィルタするためのメトリクスを設計する。 大規模な実験を通じて,我々の手法が高品質な脆弱性修正ペアを収集し,強力な説明を得られることを示す。
  論文  参考訳（メタデータ） (2023-09-15T02:50:08Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。