論文の概要: Real-World Usability of Vulnerability Proof-of-Concepts: A Comprehensive Study

• arxiv url: http://arxiv.org/abs/2510.18448v1
• Date: Tue, 21 Oct 2025 09:22:36 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-10-25 03:08:13.236612
• Title: Real-World Usability of Vulnerability Proof-of-Concepts: A Comprehensive Study
• Title（参考訳）: 概念の脆弱性の現実的利用可能性:包括的考察
• Authors: Wenjing Dang, Kaixuan Li, Sen Chen, Zhenwei Zhuo, Lyuye Zhang, Zheli Liu,
• Abstract要約: 野生におけるPoCsの大規模研究を行い,その可利用性,完全性,有効性を評価した。 我々は13プラットフォームから470,921のPoCとそれらのレポートを収集し、現在最も広く公開されているPoCのコレクションを表現した。 我々の調査によると、CVEの脆弱性の78.9%はPoCを欠いていることが判明し、既存のPoCレポートでは、効果的な脆弱性の理解と再現に必要な必須コンポーネントの約30%が欠落している。
• 参考スコア（独自算出の注目度）: 13.380820971152104
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: The Proof-of-Concept (PoC) for a vulnerability is crucial in validating its existence, mitigating false positives, and illustrating the severity of the security threat it poses. However, research on PoCs significantly lags behind studies focusing on vulnerability data. This discrepancy can be directly attributed to several challenges, including the dispersion of real-world PoCs across multiple platforms, the diversity in writing styles, and the difficulty associated with PoC reproduction. To fill this gap, we conduct the first large-scale study on PoCs in the wild, assessing their report availability, completeness, reproducibility. Specifically, 1) to investigate PoC reports availability for CVE vulnerability, we collected an extensive dataset of 470,921 PoCs and their reports from 13 platforms, representing the broadest collection of publicly available PoCs to date. 2) To assess the completeness of PoC report at a fine-grained level, we proposed a component extraction method, which combines pattern-matching techniques with a fine-tuned BERT-NER model to extract 9 key components from PoC reports. 3) To evaluate the effectiveness of PoCs, we recruited 8 participants to manually reproduce 150 sampled vulnerabilities with 32 vulnerability types based on PoC reports, enabling an in-depth analysis of PoC reproducibility and the factors influencing it. Our findings reveal that 78.9% of CVE vulnerabilities lack available PoCs, and existing PoC reports typically miss about 30% of the essential components required for effective vulnerability understanding and reproduction, with various reasons identified for the failure to reproduce vulnerabilities using available PoC reports. Finally, we proposed actionable strategies for stakeholders to enhance the overall usability of vulnerability PoCs in strengthening software security.
• Abstract（参考訳）: 脆弱性のProof-of-Concept(PoC)は、その存在を検証し、偽陽性を緩和し、それらが引き起こすセキュリティ脅威の深刻さを説明するのに不可欠である。 しかし、PoCの研究は、脆弱性データに焦点を当てた研究の遅れを著しく受けている。 この違いは、複数のプラットフォームにまたがる現実世界のPoCの分散、書き込みスタイルの多様性、PoCの再現に関する難しさなど、いくつかの課題に直接起因する可能性がある。 このギャップを埋めるために、我々は野生のPoCに関する最初の大規模な研究を行い、レポートの可利用性、完全性、再現性を評価した。 具体的には 1) CVE脆弱性のPoCレポートの可利用性を調べるため,13プラットフォームから470,921のPoCとそのレポートを収集した。 2) 細粒度レベルでのPoCレポートの完全性を評価するため,パターンマッチング技術と細調整したBERT-NERモデルを組み合わせて,PoCレポートから9つの重要なコンポーネントを抽出するコンポーネント抽出法を提案した。 3) PoCs の有効性を評価するため,PoC レポートに基づいて 8 名の被験者を募集し,PoC の再現性とその影響要因を詳細に分析し,150 個のサンプルの脆弱性を32 種類の脆弱性タイプで手作業で再現した。 我々の調査によると、CVEの脆弱性の78.9%はPoCを欠いていることが判明し、既存のPoCレポートでは、有効な脆弱性の理解と再現に必要な必須コンポーネントの約30%を欠いている。 最後に、ソフトウェアセキュリティを強化する上で、脆弱性PoCの全体的なユーザビリティを高めるためのステークホルダーのための実行可能な戦略を提案しました。

関連論文リスト

• A Systematic Study on Generating Web Vulnerability Proof-of-Concepts Using Large Language Models [13.035038702785512]
  本稿では,Webアプリケーション脆弱性に対するLarge Language Models(LLMs)ベースのPoC生成に関する実証的研究について紹介する。 以上の結果から, LLMは公共データのみを用いて, 8%～34%の症例で作業用PoCを自動生成できることがわかった。 さらなる分析によると、コードコンテキストを補完することで成功率が17%-20%向上し、関数レベルが9%-13%改善した。
  論文  参考訳（メタデータ） (2025-10-11T10:15:38Z)
• VulnRepairEval: An Exploit-Based Evaluation Framework for Assessing Large Language Model Vulnerability Repair Capabilities [41.85494398578654]
  VulnRepairEvalは、関数型Proof-of-Conceptエクスプロイトに固定された評価フレームワークである。 我々のフレームワークは、再現可能な微分評価を可能にする包括的でコンテナ化された評価パイプラインを提供する。
  論文  参考訳（メタデータ） (2025-09-03T14:06:10Z)
• Aligning Core Aspects: Improving Vulnerability Proof-of-Concepts via Cross-Source Insights [7.595114357457011]
  公共プラットフォームにおけるPoCレポートにおける情報不足に関する最初の研究を行う。 公開プラットフォームで利用可能なPoCレポートには,少なくとも1つの重要な側面が欠けていることが分かりました。 我々はPoCレポートの欠落した側面情報を補完するマルチソース情報融合法を開発した。
  論文  参考訳（メタデータ） (2025-08-25T15:18:10Z)
• PoCGen: Generating Proof-of-Concept Exploits for Vulnerabilities in Npm Packages [13.877936187495555]
  我々は,npmパッケージの脆弱性に対するPoCエクスプロイトを自律的に生成し,検証する新しいアプローチであるPoCGenを提案する。 PoCGenはSecBench$.jsデータセットの脆弱性の77%のエクスプロイトを生成することに成功した。
  論文  参考訳（メタデータ） (2025-06-05T12:37:33Z)
• Advancing Embodied Agent Security: From Safety Benchmarks to Input Moderation [52.83870601473094]
  エンボディード・エージェントは、複数のドメインにまたがって大きな潜在能力を示す。 既存の研究は主に、一般的な大言語モデルのセキュリティに重点を置いている。 本稿では, エンボディエージェントの保護を目的とした新しい入力モデレーションフレームワークを提案する。
  論文  参考訳（メタデータ） (2025-04-22T08:34:35Z)
• Streamlining Security Vulnerability Triage with Large Language Models [0.786186571320448]
  セキュリティバグの共通弱さ(CWE)の同定を自動化し,その重症度を評価する新しいアプローチであるCASEYを提案する。 ケーシーはCWE識別精度68%、重度識別精度73.6%、組み合わせ精度51.2%を達成した。
  論文  参考訳（メタデータ） (2025-01-31T06:02:24Z)
• Conservative Prediction via Data-Driven Confidence Minimization [70.93946578046003]
  機械学習の安全性クリティカルな応用においては、モデルが保守的であることが望ましいことが多い。 本研究では,不確実性データセットに対する信頼性を最小化するデータ駆動信頼性最小化フレームワークを提案する。
  論文  参考訳（メタデータ） (2023-06-08T07:05:36Z)
• Differential privacy and robust statistics in high dimensions [49.50869296871643]
  高次元Propose-Test-Release (HPTR) は指数的メカニズム、頑健な統計、Propose-Test-Release メカニズムという3つの重要なコンポーネントの上に構築されている。 本論文では,HPTRが複数のシナリオで最適サンプル複雑性をほぼ達成していることを示す。
  論文  参考訳（メタデータ） (2021-11-12T06:36:40Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。