Fugu-MT 論文翻訳(概要): QLCoder: A Query Synthesizer For Static Analysis of Security Vulnerabilities

論文の概要: QLCoder: A Query Synthesizer For Static Analysis of Security Vulnerabilities

arxiv url: http://arxiv.org/abs/2511.08462v1
Date: Wed, 12 Nov 2025 01:59:49 GMT
ステータス: 翻訳完了
システム内更新日: 2025-11-12 20:17:03.825855
Title: QLCoder: A Query Synthesizer For Static Analysis of Security Vulnerabilities
Title（参考訳）: QLCoder: セキュリティ脆弱性の静的解析のためのクエリシンセサイザー
Authors: Claire Wang, Ziyang Li, Saikat Dutta, Mayur Naik,
Abstract要約: QLCoderは、強力な静的分析エンジンであるCodeQLでクエリを自動的に合成するエージェントフレームワークである。 QLCodeは、独自のMPPインターフェースを使用して推論を制約しながら、実行フィードバック付きの合成ループにLLMを組み込む。 111のJavaプロジェクトにわたる176の既存のCVE上でQLCodeを評価します。
参考スコア（独自算出の注目度）: 18.588864089739598
License: http://creativecommons.org/licenses/by/4.0/
Abstract: Static analysis tools provide a powerful means to detect security vulnerabilities by specifying queries that encode vulnerable code patterns. However, writing such queries is challenging and requires diverse expertise in security and program analysis. To address this challenge, we present QLCoder - an agentic framework that automatically synthesizes queries in CodeQL, a powerful static analysis engine, directly from a given CVE metadata. QLCode embeds an LLM in a synthesis loop with execution feedback, while constraining its reasoning using a custom MCP interface that allows structured interaction with a Language Server Protocol (for syntax guidance) and a RAG database (for semantic retrieval of queries and documentation). This approach allows QLCoder to generate syntactically and semantically valid security queries. We evaluate QLCode on 176 existing CVEs across 111 Java projects. Building upon the Claude Code agent framework, QLCoder synthesizes correct queries that detect the CVE in the vulnerable but not in the patched versions for 53.4% of CVEs. In comparison, using only Claude Code synthesizes 10% correct queries.
Abstract（参考訳）: 静的解析ツールは、脆弱性のあるコードパターンをエンコードするクエリを指定することで、セキュリティ上の脆弱性を検出する強力な手段を提供する。しかし、このようなクエリを書くことは困難であり、セキュリティやプログラム分析に様々な専門知識を必要とする。この課題に対処するため、所定のCVEメタデータから直接、強力な静的分析エンジンであるCodeQLでクエリを自動的に合成するエージェントフレームワークであるQLCoderを紹介します。 QLCodeは、LLMを合成ループに実行フィードバックを組み込むと同時に、Language Server Protocol(シンタックスガイダンスのための)とRAGデータベース(クエリとドキュメントのセマンティック検索のための)との構造化インタラクションを可能にするカスタムMPPインターフェースを使用して、推論を制約する。このアプローチにより、QLCoderは構文的に、セマンティックに有効なセキュリティクエリを生成することができる。 111のJavaプロジェクトにわたる176の既存のCVE上でQLCodeを評価します。 Claude Codeエージェントフレームワークを基盤として、QLCoderは、53.4%のCVEに対して、パッチバージョンでは脆弱性はあるもののCVEを検出しない正しいクエリを合成する。比較として、Claude Codeのみが10%正確なクエリを合成する。

関連論文リスト

Rethinking Testing for LLM Applications: Characteristics, Challenges, and a Lightweight Interaction Protocol [83.83217247686402]
大言語モデル(LLM)は、単純なテキストジェネレータから、検索強化、ツール呼び出し、マルチターンインタラクションを統合する複雑なソフトウェアシステムへと進化してきた。その固有の非決定主義、ダイナミズム、文脈依存は品質保証に根本的な課題をもたらす。本稿では,LLMアプリケーションを3層アーキテクチャに分解する: textbftextitSystem Shell Layer, textbftextitPrompt Orchestration Layer, textbftextitLLM Inference Core。
論文参考訳（メタデータ） (2025-08-28T13:00:28Z)
Assessing the Quality and Security of AI-Generated Code: A Quantitative Analysis [0.0]
本研究では,Claude Sonnet 4, Claude 3.7 Sonnet, GPT-4o, Llama 3.2 90B, OpenCoder 8Bの5大言語モデル(LLM)のコード品質とセキュリティを定量的に評価する。 LLMは機能的なコードを生成することができるが、バグやセキュリティ上の脆弱性、コードの臭いなど、さまざまなソフトウェア欠陥も導入している。
論文参考訳（メタデータ） (2025-08-20T14:16:21Z)
Decompiling Smart Contracts with a Large Language Model [51.49197239479266]
Etherscanの78,047,845のスマートコントラクトがデプロイされているにも関わらず(2025年5月26日現在)、わずか767,520 (1%)がオープンソースである。この不透明さは、オンチェーンスマートコントラクトバイトコードの自動意味解析を必要とする。バイトコードを可読でセマンティックに忠実なSolidityコードに変換する,先駆的な逆コンパイルパイプラインを導入する。
論文参考訳（メタデータ） (2025-06-24T13:42:59Z)
CLOVER: A Test Case Generation Benchmark with Coverage, Long-Context, and Verification [71.34070740261072]
本稿では,テストケースの生成と完成におけるモデルの能力を評価するためのベンチマークCLOVERを提案する。ベンチマークはタスク間でのコード実行のためにコンテナ化されています。
論文参考訳（メタデータ） (2025-02-12T21:42:56Z)
Syzygy: Dual Code-Test C to (safe) Rust Translation using LLMs and Dynamic Analysis [8.361424157571468]
Syzygyは、C言語を安全なRustに変換する自動化アプローチである。これは、Rustのコード翻訳を安全にする上で、これまでで最大の自動化およびテスト検証済みのCである。
論文参考訳（メタデータ） (2024-12-18T18:55:46Z)
SeCodePLT: A Unified Platform for Evaluating the Security of Code GenAI [58.29510889419971]
コード生成大型言語モデル(LLM)のセキュリティリスクと能力を評価するための既存のベンチマークは、いくつかの重要な制限に直面している。手動で検証し、高品質なシード例から始める、汎用的でスケーラブルなベンチマーク構築フレームワークを導入し、ターゲット突然変異を通じて拡張する。このフレームワークをPython、C/C++、Javaに適用すると、44のCWEベースのリスクカテゴリと3つのセキュリティ機能にまたがる5.9k以上のサンプルデータセットであるSeCodePLTが構築されます。
論文参考訳（メタデータ） (2024-10-14T21:17:22Z)
HexaCoder: Secure Code Generation via Oracle-Guided Synthetic Training Data [60.75578581719921]
大規模言語モデル(LLM)は、自動コード生成に大きな可能性を示している。最近の研究は、多くのLLM生成コードが深刻なセキュリティ脆弱性を含んでいることを強調している。我々は,LLMがセキュアなコードを生成する能力を高めるための新しいアプローチであるHexaCoderを紹介する。
論文参考訳（メタデータ） (2024-09-10T12:01:43Z)
IRIS: LLM-Assisted Static Analysis for Detecting Security Vulnerabilities [14.188864624736938]
大規模な言語モデル(LLM)は印象的なコード生成機能を示しているが、そのような脆弱性を検出するためにコードに対して複雑な推論を行うことはできない。我々は,LLMと静的解析を体系的に組み合わせ,セキュリティ脆弱性検出のための全体リポジトリ推論を行うニューロシンボリックアプローチであるIRISを提案する。
論文参考訳（メタデータ） (2024-05-27T14:53:35Z)
Python Code Generation by Asking Clarification Questions [57.63906360576212]
本稿では,この課題に対して,より斬新で現実的なセットアップを導入する。我々は、自然言語記述の過小評価は、明確化を問うことで解決できると仮定する。我々は、生成した合成明確化質問と回答を含む自然言語記述とコードのペアを含む、CodeClarQAという新しいデータセットを収集し、導入する。
論文参考訳（メタデータ） (2022-12-19T22:08:36Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。