論文の概要: Investigating Security Implications of Automatically Generated Code on the Software Supply Chain
- arxiv url: http://arxiv.org/abs/2509.20277v1
- Date: Wed, 24 Sep 2025 16:15:17 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-09-25 20:53:19.894414
- Title: Investigating Security Implications of Automatically Generated Code on the Software Supply Chain
- Title(参考訳): ソフトウェアサプライチェーンにおける自動生成コードのセキュリティ影響の調査
- Authors: Xiaofan Li, Xing Gao,
- Abstract要約: ソフトウェアサプライチェーン(SSC)攻撃は、世界社会に重大なリスクをもたらす。
大規模言語モデル(LLM)のようなコード生成技術は、開発者コミュニティで広く利用されている。
LLMは、製造、誤情報、時代遅れのトレーニングデータへの依存など、コードを生成する際に固有の問題に悩まされる。
- 参考スコア(独自算出の注目度): 4.3754423452518205
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: In recent years, various software supply chain (SSC) attacks have posed significant risks to the global community. Severe consequences may arise if developers integrate insecure code snippets that are vulnerable to SSC attacks into their products. Particularly, code generation techniques, such as large language models (LLMs), have been widely utilized in the developer community. However, LLMs are known to suffer from inherent issues when generating code, including fabrication, misinformation, and reliance on outdated training data, all of which can result in serious software supply chain threats. In this paper, we investigate the security threats to the SSC that arise from these inherent issues. We examine three categories of threats, including eleven potential SSC-related threats, related to external components in source code, and continuous integration configuration files. We find some threats in LLM-generated code could enable attackers to hijack software and workflows, while some others might cause potential hidden threats that compromise the security of the software over time. To understand these security impacts and severity, we design a tool, SSCGuard, to generate 439,138 prompts based on SSC-related questions collected online, and analyze the responses of four popular LLMs from GPT and Llama. Our results show that all identified SSC-related threats persistently exist. To mitigate these risks, we propose a novel prompt-based defense mechanism, namely Chain-of-Confirmation, to reduce fabrication, and a middleware-based defense that informs users of various SSC threats.
- Abstract(参考訳): 近年、様々なソフトウェアサプライチェーン(SSC)攻撃が世界社会に重大なリスクをもたらしている。
開発者が製品へのSSC攻撃に対して脆弱なセキュアでないコードスニペットを統合すると、重大な結果が生じる可能性がある。
特に、大規模言語モデル(LLM)のようなコード生成技術は、開発者コミュニティで広く利用されている。
しかしながら、LCMは、製造、誤情報、時代遅れのトレーニングデータへの依存など、コード生成時に固有の問題に悩まされることで知られており、これらすべてが深刻なソフトウェアサプライチェーンの脅威を引き起こす可能性がある。
本稿では,これら固有の問題から生じるSSCに対するセキュリティ上の脅威について検討する。
本研究では、ソースコードの外部コンポーネントに関連する11のSSC関連脅威や、継続的インテグレーション構成ファイルを含む、脅威の3つのカテゴリについて検討する。
LLMが生成するコードには、攻撃者がソフトウェアやワークフローをハイジャックできるという脅威がある一方で、時間とともにソフトウェアのセキュリティを侵害する潜在的な隠れた脅威を引き起こす可能性がある。
これらのセキュリティへの影響と重大さを理解するため、オンラインで収集されたSSC関連質問に基づいて439,138のプロンプトを生成するツールSSCGuardを設計し、GPTとLlamaの4つの人気のあるLCMの応答を分析する。
以上の結果から,SSC関連脅威はいずれも持続的に存在することが明らかとなった。
これらのリスクを軽減するため、我々は、製造を減らすために、新しいプロンプトベースの防御機構、すなわち確認の連鎖(Chain-of-Confirmation)を提案し、また様々なSSC脅威をユーザーに知らせるミドルウェアベースの防衛を提案する。
関連論文リスト
- S3C2 Summit 2024-09: Industry Secure Software Supply Chain Summit [50.93790634176803]
ここ数年、ソフトウェアサプライチェーンをターゲットにしたサイバー攻撃が急増している。
ソフトウェアサプライチェーン攻撃の脅威は、ソフトウェア業界と米国政府から関心を集めている。
NSFが支援するSecure Software Supply Chain Center (S3C2)の3人の研究者がSecure Software Supply Chain Summitを開催した。
論文 参考訳(メタデータ) (2025-05-15T17:48:14Z) - Commercial LLM Agents Are Already Vulnerable to Simple Yet Dangerous Attacks [88.84977282952602]
最近のMLセキュリティ文献は、整列型大規模言語モデル(LLM)に対する攻撃に焦点を当てている。
本稿では,LLMエージェントに特有のセキュリティとプライバシの脆弱性を分析する。
我々は、人気のあるオープンソースおよび商用エージェントに対する一連の実証的な攻撃を行い、その脆弱性の即時的な影響を実証した。
論文 参考訳(メタデータ) (2025-02-12T17:19:36Z) - Integrating Artificial Open Generative Artificial Intelligence into Software Supply Chain Security [0.0]
我々は,有望なオープン言語モデル(LLM)の実験を,ソースコード言語エラーと非推奨コードという,2つの主要なソフトウェアセキュリティ課題に分けて実施する。
以上の結果から,LSMは予期せぬ結果を示すが,特にメモリの複雑化や,新しいデータパターンや不慣れなデータパターンの管理において,大きな制約が生じることが示唆された。
これらの課題にもかかわらず、LLMの積極的な適用は、広範なセキュリティデータベースや継続的更新と相まって、新たな脅威に対してソフトウェアサプライチェーンプロセスを強化できる可能性を秘めている。
論文 参考訳(メタデータ) (2024-12-26T07:03:55Z) - Defining and Evaluating Physical Safety for Large Language Models [62.4971588282174]
大型言語モデル (LLM) は、ドローンのようなロボットシステムを制御するためにますます使われている。
現実世界のアプリケーションに物理的な脅威や害をもたらすリスクは、まだ解明されていない。
我々は,ドローンの物理的安全性リスクを,(1)目標脅威,(2)目標脅威,(3)インフラ攻撃,(4)規制違反の4つのカテゴリに分類する。
論文 参考訳(メタデータ) (2024-11-04T17:41:25Z) - h4rm3l: A language for Composable Jailbreak Attack Synthesis [48.5611060845958]
h4rm3lは、人間が読めるドメイン固有言語とのギャップに対処する新しいアプローチである。
我々は、h4rm3lの合成攻撃は、文献における既存のジェイルブレイク攻撃よりも多様で、より成功していることを示す。
論文 参考訳(メタデータ) (2024-08-09T01:45:39Z) - SoK: A Defense-Oriented Evaluation of Software Supply Chain Security [3.165193382160046]
ソフトウェアサプライチェーンのセキュリティ研究と開発の次の段階は、防衛指向のアプローチから大きな恩恵を受けるだろう、と私たちは主張する。
本稿では,ソフトウェアサプライチェーンの基本的な要素とその因果関係を表現するフレームワークであるAStRAモデルを紹介する。
論文 参考訳(メタデータ) (2024-05-23T18:53:48Z) - Assessing the Threat Level of Software Supply Chains with the Log Model [4.1920378271058425]
全ソフトウェアシステムにおけるフリーおよびオープンソースソフトウェア(FOSS)コンポーネントの使用は90%以上と見積もられている。
本研究は、ログモデルを用いてFOSSサプライチェーンの脅威レベルを評価する新しいアプローチを提案する。
論文 参考訳(メタデータ) (2023-11-20T12:44:37Z) - Software supply chain: review of attacks, risk assessment strategies and
security controls [0.13812010983144798]
ソフトウェア製品は、ソフトウェアサプライチェーンを配布ベクタとして使用することによって組織を標的とするサイバー攻撃の源泉である。
我々は、分析された攻撃の最新の傾向を提供することで、最も一般的なソフトウェアサプライチェーン攻撃を分析します。
本研究では、分析されたサイバー攻撃やリスクを現実のセキュリティインシデントやアタックと結びつけて軽減するユニークなセキュリティ制御を導入する。
論文 参考訳(メタデータ) (2023-05-23T15:25:39Z) - ThreatKG: An AI-Powered System for Automated Open-Source Cyber Threat Intelligence Gathering and Management [65.0114141380651]
ThreatKGはOSCTIの収集と管理のための自動化システムである。
複数のソースから多数のOSCTIレポートを効率的に収集する。
さまざまな脅威エンティティに関する高品質な知識を抽出するために、AIベースの専門技術を使用する。
論文 参考訳(メタデータ) (2022-12-20T16:13:59Z) - A System for Automated Open-Source Threat Intelligence Gathering and
Management [53.65687495231605]
SecurityKGはOSCTIの収集と管理を自動化するシステムである。
AIとNLP技術を組み合わせて、脅威行動に関する高忠実な知識を抽出する。
論文 参考訳(メタデータ) (2021-01-19T18:31:35Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。