論文の概要: Well Begun is Half Done: Location-Aware and Trace-Guided Iterative Automated Vulnerability Repair

• arxiv url: http://arxiv.org/abs/2512.20203v1
• Date: Tue, 23 Dec 2025 09:54:22 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-12-24 19:17:49.818683
• Title: Well Begun is Half Done: Location-Aware and Trace-Guided Iterative Automated Vulnerability Repair
• Title（参考訳）: 位置認識とトレースガイドによる反復的自動脆弱性修復
• Authors: Zhenlei Ye, Xiaobing Sun, Sicong Cao, Lili Bo, Bin Li,
• Abstract要約: 既存の脆弱性修復アプローチでは、パッチが必要な場所の懸念を無視して、修復内容のみに集中する。 LLMベースのアプローチであるsysnameを提案し、最初にパッチを適用すべき場所に関する情報を提供する。 sysnameは、テストフェールパッチの品質を評価し、次のイテレーションに最適なパッチを選択することで、反復的な修復戦略を改善する。
• 参考スコア（独自算出の注目度）: 8.461073497106222
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: The advances of large language models (LLMs) have paved the way for automated software vulnerability repair approaches, which iteratively refine the patch until it becomes plausible. Nevertheless, existing LLM-based vulnerability repair approaches face notable limitations: 1) they ignore the concern of locations that need to be patched and focus solely on the repair content. 2) they lack quality assessment for generated candidate patches in the iterative process. To tackle the two limitations, we propose \sysname, an LLM-based approach that provides information about where should be patched first. Furthermore, \sysname improves the iterative repair strategy by assessing the quality of test-failing patches and selecting the best patch for the next iteration. We introduce two dimensions to assess the quality of patches: whether they introduce new vulnerabilities and the taint statement coverage. We evaluated \sysname on a real-world C/C++ vulnerability repair dataset VulnLoc+, which contains 40 vulnerabilities and their Proofs-of-Vulnerability. The experimental results demonstrate that \sysname exhibits substantial improvements compared with the Neural Machine Translation-based, Program Analysis-based, and LLM-based state-of-the-art vulnerability repair approaches. Specifically, \sysname is able to generate 27 plausible patches, which is comparable to or even 8 to 22 more plausible patches than the baselines. In terms of correct patch generation, \sysname repairs 8 to 13 additional vulnerabilities compared with existing approaches.
• Abstract（参考訳）: 大規模言語モデル(LLM)の進歩は、ソフトウェアの自動脆弱性修復アプローチの道を開いた。 それでも、既存のLLMベースの脆弱性修復アプローチは、注目すべき制限に直面している。 1)修正が必要な場所の懸念を無視し、修理内容のみに集中する。 2) 反復プロセスにおいて, 生成した候補パッチの品質評価を欠いている。 この2つの制限に対処するため、まず最初にパッチを適用すべき箇所に関する情報を提供するLLMベースのアプローチである‘sysname’を提案する。 さらに、‘sysname’は、テストフェールパッチの品質を評価し、次のイテレーションに最適なパッチを選択することで、反復的な修復戦略を改善している。 パッチの品質を評価するために、新たな脆弱性の導入とtent文のカバレッジの2つの側面を導入します。 我々は,40の脆弱性とProofs-of-Vulnerabilityを含む実世界のC/C++脆弱性修復データセットであるVulnLoc+上で,‘sysname’を評価した。 実験結果から, \sysnameはNeural Machine Translationベース, Program Analysisベース, LLMベースの脆弱性修復アプローチと比較して大幅に改善されていることがわかった。 具体的には、Shasysnameは27の可塑性パッチを生成することができ、ベースラインよりも8から22の可塑性パッチに匹敵する。 パッチ生成の正しさという点では,既存のアプローチに比べて8から13の脆弱性が修正されている。

関連論文リスト

• Enhancing Automated Program Repair via Faulty Token Localization and Quality-Aware Patch Refinement [15.978451025074962]
  TokenRepairは、プログラム修復のための新しい2段階の洗練フレームワークである。 内部リフレクションを統合して、潜在的な欠陥のあるトークンをローカライズし、外部からのフィードバックで品質を意識したパッチ修正を行う。 TokenRepairは、Defects4J 1.2の88のバグとHumanEval-Javaの139のバグを正しく修正することで、最先端の修復パフォーマンスを新たに達成している。
  論文  参考訳（メタデータ） (2025-11-22T10:05:26Z)
• What Do They Fix? LLM-Aided Categorization of Security Patches for Critical Memory Bugs [46.325755802511026]
  我々は、LLM(Large Language Model)と細調整された小言語モデルに基づく2つのアプローチを統合するデュアルメタルパイプラインであるLMを開発した。 LMは、OOBまたはUAFの脆弱性に対処する最近のLinuxカーネルのパッチ5,140のうち111つを、手作業による検証によって90の正の正が確認された。
  論文  参考訳（メタデータ） (2025-09-26T18:06:36Z)
• Revisiting Vulnerability Patch Localization: An Empirical Study and LLM-Based Solution [44.388332647211776]
  オープンソースのソフトウェア脆弱性検出は、ソフトウェアのセキュリティを維持し、ソフトウェアサプライチェーンの整合性を確保するための重要なコンポーネントである。 従来の検出方法は、大量のコミット履歴を処理する際に、大きなスケーラビリティの課題に直面している。 バージョン駆動型候補フィルタリングと大規模言語モデルに基づく多ラウンド対話投票を組み合わせた新しい2段階フレームワークを提案する。
  論文  参考訳（メタデータ） (2025-09-19T09:09:55Z)
• Weakly Supervised Vulnerability Localization via Multiple Instance Learning [46.980136742826836]
  WeAkly によるマルチプルインスタンス学習による脆弱性ローカライゼーションのための WAVES という新しい手法を提案する。 WAVESは、ある関数が脆弱かどうか(すなわち脆弱性検出)を判定し、脆弱なステートメントをピンポイントする機能を持っている。 提案手法は,文レベルの脆弱性ローカライゼーションにおいて,脆弱性検出と最先端のパフォーマンスにおいて同等のパフォーマンスを実現する。
  論文  参考訳（メタデータ） (2025-09-14T15:11:39Z)
• VulnRepairEval: An Exploit-Based Evaluation Framework for Assessing Large Language Model Vulnerability Repair Capabilities [41.85494398578654]
  VulnRepairEvalは、関数型Proof-of-Conceptエクスプロイトに固定された評価フレームワークである。 我々のフレームワークは、再現可能な微分評価を可能にする包括的でコンテナ化された評価パイプラインを提供する。
  論文  参考訳（メタデータ） (2025-09-03T14:06:10Z)
• Repair Ingredients Are All You Need: Improving Large Language Model-Based Program Repair via Repair Ingredients Search [41.50068103527948]
  ReinFixは、バグ修正の推論と解決フェーズを通じて、修復材料を検索するフレームワークである。 ソリューションフェーズでは、ReinFixは、同様のバグパターンで過去のバグ修正から外部の要素を検索する。 2つの人気のあるベンチマークによる評価は、SOTAベースラインに対するアプローチの有効性を示す。
  論文  参考訳（メタデータ） (2025-06-29T06:02:11Z)
• Fast and Accurate Silent Vulnerability Fix Retrieval [7.512949497610182]
  CVEを修正するためのパッチコミットをトレース/検索する既存のアプローチは、2つの大きな課題に悩まされている。 SITPatchTracerは、既知の脆弱性パッチをトレースするスケーラブルで効果的な検索システムである。 SITPatchTracerを使って、GitHub Advisoryデータベース内の35の新しいCVEのパッチリンクをトレースしてマージしました。
  論文  参考訳（メタデータ） (2025-03-29T01:53:07Z)
• ReF Decompile: Relabeling and Function Call Enhanced Decompile [50.86228893636785]
  逆コンパイルの目標は、コンパイルされた低レベルコード(アセンブリコードなど)を高レベルプログラミング言語に変換することである。 このタスクは、脆弱性識別、マルウェア分析、レガシーソフトウェアマイグレーションなど、さまざまなリバースエンジニアリングアプリケーションをサポートする。
  論文  参考訳（メタデータ） (2025-02-17T12:38:57Z)
• APPATCH: Automated Adaptive Prompting Large Language Models for Real-World Software Vulnerability Patching [24.958856670970366]
  本稿では,事前学習言語モデル(LLM)のパワーとメリットを活用し,脆弱性の自動パッチングを実現する。 脆弱なコードの振る舞いを効果的に推論するために,LLMを応用するために,脆弱性セマンティックス推論と適応的プロンプトを導入する。 97のゼロデイ脆弱性と20の既存脆弱性に対するAPの評価は、既存の手法と最先端の非LLM技術の両方に優れた性能を示している。
  論文  参考訳（メタデータ） (2024-08-24T14:51:50Z)
• A Case Study of LLM for Automated Vulnerability Repair: Assessing Impact of Reasoning and Patch Validation Feedback [7.742213291781287]
  提案するVRpilotは,推論とパッチ検証フィードバックに基づく脆弱性修復手法である。 以上の結果から,VRpilotはCとJavaのベースライン技術よりも平均14%と7.6%の正確なパッチを生成することがわかった。
  論文  参考訳（メタデータ） (2024-05-24T16:29:48Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。