論文の概要: SecureFixAgent: A Hybrid LLM Agent for Automated Python Static Vulnerability Repair
- arxiv url: http://arxiv.org/abs/2509.16275v1
- Date: Thu, 18 Sep 2025 15:45:43 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-09-23 18:58:15.715483
- Title: SecureFixAgent: A Hybrid LLM Agent for Automated Python Static Vulnerability Repair
- Title(参考訳): SecureFixAgent: Python静的脆弱性の自動修復のためのハイブリッドLLMエージェント
- Authors: Jugal Gajjar, Kamalasankari Subramaniakuppusamy, Relsy Puthal, Kaustik Ranaware,
- Abstract要約: 本稿では、Banditと軽量ローカルLLMを統合したハイブリッド修復フレームワークSecureFixAgentを紹介する。
精度を向上させるために、パラメータ効率のよいLoRAに基づく微調整を、多種多様なキュレートされたデータセットに適用する。
実験では、SecureFixAgentは静的解析で偽陽性を10.8%減らし、修正精度を13.51%改善し、事前訓練されたLDMと比較して偽陽性を5.46%減らした。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by-nc-sa/4.0/
- Abstract: Modern software development pipelines face growing challenges in securing large codebases with extensive dependencies. Static analysis tools like Bandit are effective at vulnerability detection but suffer from high false positives and lack repair capabilities. Large Language Models (LLMs), in contrast, can suggest fixes but often hallucinate changes and lack self-validation. We present SecureFixAgent, a hybrid repair framework integrating Bandit with lightweight local LLMs (<8B parameters) in an iterative detect-repair-validate loop. To improve precision, we apply parameter-efficient LoRA-based fine-tuning on a diverse, curated dataset spanning multiple Python project domains, mitigating dataset bias and reducing unnecessary edits. SecureFixAgent uses Bandit for detection, the LLM for candidate fixes with explanations, and Bandit re-validation for verification, all executed locally to preserve privacy and reduce cloud reliance. Experiments show SecureFixAgent reduces false positives by 10.8% over static analysis, improves fix accuracy by 13.51%, and lowers false positives by 5.46% compared to pre-trained LLMs, typically converging within three iterations. Beyond metrics, developer studies rate explanation quality 4.5/5, highlighting its value for human trust and adoption. By combining verifiable security improvements with transparent rationale in a resource-efficient local framework, SecureFixAgent advances trustworthy, automated vulnerability remediation for modern pipelines.
- Abstract(参考訳): 現代のソフトウェア開発パイプラインは、大規模なコードベースを大規模な依存関係で確保する上で、ますます難しい課題に直面している。
Banditのような静的解析ツールは脆弱性検出には有効だが、偽陽性が高く、修復能力に欠ける。
対照的に、Large Language Models (LLMs) は修正を提案するが、しばしば幻覚的な変更をし、自己検証を欠いている。
本稿では,Banditと軽量ローカルLLM((<8Bパラメータ)を併用したハイブリッド補修フレームワークSecureFixAgentについて,繰り返し検出・再ペアバリデートループで紹介する。
精度を向上させるために、複数のPythonプロジェクトドメインにまたがる多様なキュレートデータセットに対してパラメータ効率のよいLoRAベースの微調整を適用し、データセットバイアスを軽減し、不要な編集を減らす。
SecureFixAgentは、検出にBandit、説明付きの候補修正にLLM、検証にBanditを再検証する。
実験では、SecureFixAgentは静的解析で偽陽性を10.8%削減し、修正精度を13.51%改善し、プリトレーニング済みのLCMに比べて偽陽性を5.46%低減する。
メトリクス以外にも、開発者調査では、品質の4.5/5が評価されており、人間の信頼と採用の価値を強調している。
リソース効率のよいローカルフレームワークにおける検証可能なセキュリティ改善と透過的な合理的性を組み合わせることで、SecureFixAgentは、現代的なパイプラインに対する信頼性の高い自動脆弱性修正を前進させる。
関連論文リスト
- VulAgent: Hypothesis-Validation based Multi-Agent Vulnerability Detection [55.957275374847484]
VulAgentは仮説検証に基づくマルチエージェント脆弱性検出フレームワークである。
セマンティクスに敏感なマルチビュー検出パイプラインを実装しており、それぞれが特定の分析の観点から一致している。
平均して、VulAgentは全体的な精度を6.6%改善し、脆弱性のある固定されたコードペアの正確な識別率を最大450%向上させ、偽陽性率を約36%削減する。
論文 参考訳(メタデータ) (2025-09-15T02:25:38Z) - Repairing vulnerabilities without invisible hands. A differentiated replication study on LLMs [5.10123605644148]
自動脆弱性修復(AVR: Automated Vulnerability repair)は、プログラム修復の急激な分岐である。
近年の研究では、大きな言語モデル(LLM)が従来の手法より優れていることが示されている。
論文 参考訳(メタデータ) (2025-07-28T16:39:16Z) - Repair Ingredients Are All You Need: Improving Large Language Model-Based Program Repair via Repair Ingredients Search [41.50068103527948]
ReinFixは、バグ修正の推論と解決フェーズを通じて、修復材料を検索するフレームワークである。
ソリューションフェーズでは、ReinFixは、同様のバグパターンで過去のバグ修正から外部の要素を検索する。
2つの人気のあるベンチマークによる評価は、SOTAベースラインに対するアプローチの有効性を示す。
論文 参考訳(メタデータ) (2025-06-29T06:02:11Z) - VADER: A Human-Evaluated Benchmark for Vulnerability Assessment, Detection, Explanation, and Remediation [0.8087612190556891]
VADERは174の現実世界のソフトウェア脆弱性で構成されており、それぞれがGitHubから慎重にキュレーションされ、セキュリティ専門家によって注釈付けされている。
各脆弱性ケースに対して、モデルは欠陥を特定し、Common Weaknession(CWE)を使用して分類し、その根本原因を説明し、パッチを提案し、テストプランを策定する。
ワンショットプロンプト戦略を用いて、VADER上で6つの最先端LCM(Claude 3.7 Sonnet, Gemini 2.5 Pro, GPT-4.1, GPT-4.5, Grok 3 Beta, o3)をベンチマークする。
我々の結果は現在の状態を示している。
論文 参考訳(メタデータ) (2025-05-26T01:20:44Z) - AegisLLM: Scaling Agentic Systems for Self-Reflective Defense in LLM Security [74.22452069013289]
AegisLLMは、敵の攻撃や情報漏洩に対する協調的なマルチエージェント防御である。
テスト時のエージェント推論システムのスケーリングは,モデルの有用性を損なうことなく,ロバスト性を大幅に向上させることを示す。
アンラーニングやジェイルブレイクを含む主要な脅威シナリオに対する総合的な評価は、AegisLLMの有効性を示している。
論文 参考訳(メタデータ) (2025-04-29T17:36:05Z) - LLM4CVE: Enabling Iterative Automated Vulnerability Repair with Large Language Models [9.946058168276744]
大規模言語モデル(LLM)は、多くのソフトウェア欠陥が自動的にパッチを当てられる可能性を開放した。
実世界のコードで脆弱な関数を高い精度で堅牢に修正する反復パイプラインを提案する。
また,Llama 370Bでは,人間の検証による品質スコアが8.51/10,Llama 370Bでは20%に向上した。
論文 参考訳(メタデータ) (2025-01-07T00:21:42Z) - ADVLLM: Iterative Self-Tuning LLMs for Enhanced Jailbreaking Capabilities [63.603861880022954]
本稿では,対戦型LDMをジェイルブレイク能力に富んだ反復的自己調整プロセスであるADV-LLMを紹介する。
我々のフレームワークは,様々なオープンソース LLM 上で ASR を100% 近く達成しながら,逆接接尾辞を生成する計算コストを大幅に削減する。
Llama3のみに最適化されているにもかかわらず、GPT-3.5では99%のASR、GPT-4では49%のASRを達成している。
論文 参考訳(メタデータ) (2024-10-24T06:36:12Z) - Exploring Automatic Cryptographic API Misuse Detection in the Era of LLMs [60.32717556756674]
本稿では,暗号誤用の検出において,大規模言語モデルを評価するための体系的評価フレームワークを提案する。
11,940個のLCM生成レポートを詳細に分析したところ、LSMに固有の不安定性は、報告の半数以上が偽陽性になる可能性があることがわかった。
最適化されたアプローチは、従来の手法を超え、確立されたベンチマークでこれまで知られていなかった誤用を明らかにすることで、90%近い顕著な検出率を達成する。
論文 参考訳(メタデータ) (2024-07-23T15:31:26Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。