論文の概要: PrediQL: Automated Testing of GraphQL APIs with LLMs
- arxiv url: http://arxiv.org/abs/2510.10407v1
- Date: Sun, 12 Oct 2025 01:49:45 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-10-14 18:06:29.924363
- Title: PrediQL: Automated Testing of GraphQL APIs with LLMs
- Title(参考訳): PrediQL: LLMによるGraphQL APIの自動テスト
- Authors: Shaolun Liu, Sina Marefat, Omar Tsai, Yu Chen, Zecheng Deng, Jia Wang, Mohammad A. Tayebi,
- Abstract要約: PrediQLは、API用の最初の検索拡張LLMガイダンスファザである。
セマンティックに有効で多様なクエリを生成する。
コンテキスト対応の脆弱性検出装置を統合する。
- 参考スコア(独自算出の注目度): 5.239518018302244
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: GraphQL's flexible query model and nested data dependencies expose APIs to complex, context-dependent vulnerabilities that are difficult to uncover using conventional testing tools. Existing fuzzers either rely on random payload generation or rigid mutation heuristics, failing to adapt to the dynamic structures of GraphQL schemas and responses. We present PrediQL, the first retrieval-augmented, LLM-guided fuzzer for GraphQL APIs. PrediQL combines large language model reasoning with adaptive feedback loops to generate semantically valid and diverse queries. It models the choice of fuzzing strategy as a multi-armed bandit problem, balancing exploration of new query structures with exploitation of past successes. To enhance efficiency, PrediQL retrieves and reuses execution traces, schema fragments, and prior errors, enabling self-correction and progressive learning across test iterations. Beyond input generation, PrediQL integrates a context-aware vulnerability detector that uses LLM reasoning to analyze responses, interpreting data values, error messages, and status codes to identify issues such as injection flaws, access-control bypasses, and information disclosure. Our evaluation across open-source and benchmark GraphQL APIs shows that PrediQL achieves significantly higher coverage and vulnerability discovery rates compared to state-of-the-art baselines. These results demonstrate that combining retrieval-augmented reasoning with adaptive fuzzing can transform API security testing from reactive enumeration to intelligent exploration.
- Abstract(参考訳): GraphQLのフレキシブルなクエリモデルとネストされたデータ依存関係は、従来のテストツールを使って明らかにするのが難しい、複雑なコンテキスト依存の脆弱性に対してAPIを公開する。
既存のファジィはランダムなペイロード生成か、厳密な突然変異ヒューリスティックに依存しており、GraphQLスキーマとレスポンスの動的構造に適応できない。
私たちは、GraphQL API用の最初の検索拡張LLM誘導ファザであるPrediQLを紹介します。
PrediQLは、大きな言語モデルの推論と適応的なフィードバックループを組み合わせることで、セマンティックに有効で多様なクエリを生成する。
ファジィング戦略の選択をマルチアームバンディット問題としてモデル化し、過去の成功を活かした新しいクエリ構造の探索のバランスをとる。
効率を高めるために、PrediQLは実行トレース、スキーマフラグメント、事前エラーを検索して再利用し、テストイテレーション全体にわたって自己補正とプログレッシブな学習を可能にする。
PrediQLは、入力生成以外にも、LLM推論を使用して応答を分析し、データ値、エラーメッセージ、ステータスコードを解釈して、インジェクション欠陥、アクセス制御バイパス、情報開示などの問題を識別する、コンテキスト対応の脆弱性検出を統合している。
オープンソースおよびベンチマークのGraphQL APIに対する評価は、PrediQLが最先端のベースラインと比較して、カバレッジと脆弱性発見率を大幅に向上していることを示している。
これらの結果は、検索強化推論と適応ファジィ化を組み合わせることで、APIセキュリティテストがリアクティブ列挙からインテリジェントな探索に変換できることを実証している。
関連論文リスト
- FIRESPARQL: A LLM-based Framework for SPARQL Query Generation over Scholarly Knowledge Graphs [0.5120567378386615]
我々は、RAGとSPARQLクエリ修正層を介してオプションコンテキストで、微調整LDMをコアコンポーネントとしてサポートするモジュラーフレームワークを提案する。
BLEUとROUGEのメトリクスを用いてクエリ精度を測定し、緩和された正確なマッチング(RelaxedEM)を用いてクエリ結果の精度を測定する。
実験結果から,クエリの精度は0.90 ROUGE-L,テストセットの精度は0.85 RelaxedEMに達した。
論文 参考訳(メタデータ) (2025-08-14T09:08:50Z) - Enhancing GraphQL Security by Detecting Malicious Queries Using Large Language Models, Sentence Transformers, and Convolutional Neural Networks [0.0]
APIの柔軟性は、効率的なデータフェッチには有効だが、従来のAPIセキュリティメカニズムが対処できないようなセキュリティ脆弱性を導入する。
悪意のあるクエリは言語の動的性質を悪用し、サービス障害やインジェクションによるデータ流出などの悪用につながる。
本稿では,悪意のあるクエリをリアルタイムに検出するための,AIによる新しいアプローチを提案する。
論文 参考訳(メタデータ) (2025-08-14T07:35:11Z) - The benefits of query-based KGQA systems for complex and temporal questions in LLM era [55.20230501807337]
大規模言語モデルは質問回答(QA)に優れていますが、マルチホップ推論や時間的質問には苦戦しています。
クエリベースの知識グラフ QA (KGQA) は、直接回答の代わりに実行可能なクエリを生成するモジュール形式の代替手段を提供する。
WikiData QAのためのマルチステージクエリベースのフレームワークについて検討し、課題のあるマルチホップと時間ベンチマークのパフォーマンスを向上させるマルチステージアプローチを提案する。
論文 参考訳(メタデータ) (2025-07-16T06:41:03Z) - GraphQLer: Enhancing GraphQL Security with Context-Aware API Testing [12.862760373064342]
APIは、Webアプリケーションのためのオープンソースのクエリおよび操作言語であり、APIの柔軟な代替手段を提供する。
不正なデータアクセス、DoS(DoS)攻撃、インジェクションなどの脆弱性に公開する。
既存のテストツールは、依存関係と実行コンテキストから生じるセキュリティリスクを見渡すことで、機能の正しさに重点を置いている。
本論文は,APIのコンテキスト対応型セキュリティエスカレーションテストフレームワークである。
論文 参考訳(メタデータ) (2025-04-17T21:58:15Z) - Unleashing the Power of LLMs in Dense Retrieval with Query Likelihood Modeling [69.84963245729826]
本稿では,検索者の後続のコントラスト学習のためのバックボーンを強化するために,QLの補助的タスクを提案する。
注意ブロック(AB)と文書破壊(DC)の2つの重要なコンポーネントを組み込んだモデルを紹介します。
論文 参考訳(メタデータ) (2025-04-07T16:03:59Z) - Effective Instruction Parsing Plugin for Complex Logical Query Answering on Knowledge Graphs [51.33342412699939]
知識グラフクエリ埋め込み(KGQE)は、不完全なKGに対する複雑な推論のために、低次元KG空間に一階論理(FOL)クエリを埋め込むことを目的としている。
近年の研究では、FOLクエリの論理的セマンティクスをよりよく捉えるために、さまざまな外部情報(エンティティタイプや関係コンテキストなど)を統合している。
コードのようなクエリ命令から遅延クエリパターンをキャプチャする効果的なクエリ命令解析(QIPP)を提案する。
論文 参考訳(メタデータ) (2024-10-27T03:18:52Z) - Allies: Prompting Large Language Model with Beam Search [107.38790111856761]
本研究では,ALIESと呼ばれる新しい手法を提案する。
入力クエリが与えられた場合、ALLIESはLLMを活用して、元のクエリに関連する新しいクエリを反復的に生成する。
元のクエリのスコープを反復的に精錬して拡張することにより、ALLIESは直接検索できない隠れた知識をキャプチャし、利用する。
論文 参考訳(メタデータ) (2023-05-24T06:16:44Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。