論文の概要: Security Vulnerabilities in AI-Generated Code: A Large-Scale Analysis of Public GitHub Repositories
- arxiv url: http://arxiv.org/abs/2510.26103v1
- Date: Thu, 30 Oct 2025 03:29:06 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-10-31 16:05:09.645758
- Title: Security Vulnerabilities in AI-Generated Code: A Large-Scale Analysis of Public GitHub Repositories
- Title(参考訳): AI生成コードのセキュリティ脆弱性:公開GitHubリポジトリの大規模分析
- Authors: Maximilian Schreiber, Pascal Tippe,
- Abstract要約: 本稿では,公開GitHubリポジトリにまたがるAI生成コードのセキュリティ脆弱性を包括的に解析する。
私たちは、ChatGPT、GitHub Copilot、Amazon CodeWhisperer、Tabnineの4つの主要なAIツールに明示的に関連付けられている7,703ファイルを収集し、分析しました。
CodeQLの静的分析を使用して、77の異なる脆弱性タイプにわたる4,241のCommon Weaknession(CWE)インスタンスを特定しました。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: This paper presents a comprehensive empirical analysis of security vulnerabilities in AI-generated code across public GitHub repositories. We collected and analyzed 7,703 files explicitly attributed to four major AI tools: ChatGPT (91.52\%), GitHub Copilot (7.50\%), Amazon CodeWhisperer (0.52\%), and Tabnine (0.46\%). Using CodeQL static analysis, we identified 4,241 Common Weakness Enumeration (CWE) instances across 77 distinct vulnerability types. Our findings reveal that while 87.9\% of AI-generated code does not contain identifiable CWE-mapped vulnerabilities, significant patterns emerge regarding language-specific vulnerabilities and tool performance. Python consistently exhibited higher vulnerability rates (16.18\%-18.50\%) compared to JavaScript (8.66\%-8.99\%) and TypeScript (2.50\%-7.14\%) across all tools. We observed notable differences in security performance, with GitHub Copilot achieving better security density for Python (1,739 LOC per CWE) and TypeScript, while ChatGPT performed better for JavaScript. Additionally, we discovered widespread use of AI tools for documentation generation (39\% of collected files), an understudied application with implications for software maintainability. These findings extend previous work with a significantly larger dataset and provide valuable insights for developing language-specific and context-aware security practices for the responsible integration of AI-generated code into software development workflows.
- Abstract(参考訳): 本稿では,公開GitHubリポジトリ全体でAI生成コードのセキュリティ脆弱性を包括的に解析する。
ChatGPT (91.52\%)、GitHub Copilot (7.50\%)、Amazon CodeWhisperer (0.52\%)、Tabnine (0.46\%)の4つの主要なAIツールに比例した7,703ファイルの収集と分析を行った。
CodeQLの静的分析を使用して、77の異なる脆弱性タイプにわたる4,241のCommon Weakness Enumeration(CWE)インスタンスを特定しました。
我々の調査によると、AI生成コードの87.9%は、識別可能なCWEマップされた脆弱性を含まないが、言語固有の脆弱性とツールパフォーマンスに関する重要なパターンが出現する。
Pythonは、すべてのツールでJavaScript(8.66\%-8.99\%)とTypeScript(2.50\%-7.14\%)よりも高い脆弱性率(16.18\%-18.50\%)を示していた。
GitHub CopilotはPython(1,739LOC/CWE)とTypeScriptのセキュリティ密度が向上し、ChatGPTはJavaScriptのパフォーマンスが向上した。
さらに、ソフトウェア保守性に影響を及ぼす未調査のアプリケーションであるドキュメンテーション生成にAIツールが広く使用されていること(収集ファイルの39.5%)を発見した。
これらの発見は、はるかに大きなデータセットによる以前の作業を拡張し、AI生成したコードをソフトウェア開発ワークフローに責任ある統合するための言語固有の、コンテキスト対応のセキュリティプラクティスを開発するための貴重な洞察を提供する。
関連論文リスト
- Trace: Securing Smart Contract Repository Against Access Control Vulnerability [58.02691083789239]
GitHubはソースコード、ドキュメント、設定ファイルを含む多数のスマートコントラクトリポジトリをホストしている。
サードパーティの開発者は、カスタム開発中にこれらのリポジトリからコードを参照、再利用、フォークすることが多い。
スマートコントラクトの脆弱性を検出する既存のツールは、複雑なリポジトリを扱う能力に制限されている。
論文 参考訳(メタデータ) (2025-10-22T05:18:28Z) - Eradicating the Unseen: Detecting, Exploiting, and Remediating a Path Traversal Vulnerability across GitHub [1.2124551005857036]
オープンソースソフトウェアの脆弱性は、現代のデジタルエコシステムにカスケード効果をもたらす可能性がある。
1,756の脆弱性のあるオープンソースプロジェクトを特定しました。
当社は、この脆弱性をメンテナに責任を持って開示し、報告された脆弱性の14%が再報告されている。
論文 参考訳(メタデータ) (2025-05-26T16:29:21Z) - BountyBench: Dollar Impact of AI Agent Attackers and Defenders on Real-World Cybersecurity Systems [62.17474934536671]
我々は、現実世界のシステムを進化させる際に、攻撃的かつ防御的なサイバー能力を捕獲する最初の枠組みを紹介する。
脆弱性ライフサイクルを捉えるために、3つのタスクタイプを定義します。検出(新たな脆弱性の検出)、エクスプロイト(特定の脆弱性の探索)、パッチ(特定の脆弱性のパッチ)。
Claude Code,OpenAI Codex CLI with o3-high and o4-mini,カスタムエージェント with o3-high, GPT-4.1, Gemini 2.5 Pro Preview, Claude 3.7 Sonnet Thinking, DeepSeek-R1。
論文 参考訳(メタデータ) (2025-05-21T07:44:52Z) - Impact of the Availability of ChatGPT on Software Development: A Synthetic Difference in Differences Estimation using GitHub Data [49.1574468325115]
ChatGPTは、ソフトウェア生産効率を向上させるAIツールである。
10万人あたりのgitプッシュ数、リポジトリ数、ユニークな開発者数に対するChatGPTの影響を見積もっています。
これらの結果は、ChatGPTのようなAIツールが開発者の生産性を大幅に向上させる可能性があることを示唆している。
論文 参考訳(メタデータ) (2024-06-16T19:11:15Z) - FV8: A Forced Execution JavaScript Engine for Detecting Evasive Techniques [53.288368877654705]
FV8はJavaScriptコードの回避テクニックを特定するために設計された修正V8 JavaScriptエンジンである。
動的コードを条件付きで注入するAPI上でのコード実行を選択的に実施する。
1,443のnpmパッケージと、少なくとも1つのタイプのエスケープを含む164の(82%)拡張を識別する。
論文 参考訳(メタデータ) (2024-05-21T19:54:19Z) - Just another copy and paste? Comparing the security vulnerabilities of ChatGPT generated code and StackOverflow answers [4.320393382724067]
この研究は、ChatGPTとStackOverflowスニペットの脆弱性を実証的に比較する。
ChatGPTはSOスニペットにある302の脆弱性と比較して248の脆弱性を含んでおり、統計的に有意な差のある20%の脆弱性を生み出した。
この結果から,両プラットフォーム間の安全性の低いコード伝搬について,開発者が教育を受けていないことが示唆された。
論文 参考訳(メタデータ) (2024-03-22T20:06:41Z) - Security Weaknesses of Copilot-Generated Code in GitHub Projects: An Empirical Study [8.364612094301071]
GitHub Copilotと他の2つのAIコード生成ツールによって生成されたコードスニペットを分析します。
分析の結果,733個のスニペットが検出され,セキュリティ上の脆弱性の可能性が高め,Pythonの29.5%,JavaScriptの24.2%が影響を受けることがわかった。
生成されたコードのセキュリティ問題を軽減するために提案する。
論文 参考訳(メタデータ) (2023-10-03T14:01:28Z) - Can Large Language Models Find And Fix Vulnerable Software? [0.0]
GPT-4は、その脆弱性の約4倍の脆弱性を同定した。
各脆弱性に対して実行可能な修正を提供し、偽陽性率の低いことを証明した。
GPT-4のコード修正により脆弱性の90%が減少し、コード行数はわずか11%増加した。
論文 参考訳(メタデータ) (2023-08-20T19:33:12Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。