論文の概要: IntelliSA: An Intelligent Static Analyzer for IaC Security Smell Detection Using Symbolic Rules and Neural Inference

• arxiv url: http://arxiv.org/abs/2601.14595v1
• Date: Wed, 21 Jan 2026 02:27:54 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-01-22 21:27:50.210485
• Title: IntelliSA: An Intelligent Static Analyzer for IaC Security Smell Detection Using Symbolic Rules and Neural Inference
• Title（参考訳）: IntelliSA: シンボリックルールとニューラル推論を用いたIaCセキュリティスメル検出のためのIntelligent Static Analyzer
• Authors: Qiyue Mei, Michael Fu,
• Abstract要約: Infrastructure as Code (IaC)は、大規模クラウドとオンプレミス環境の自動プロビジョニングを可能にする。 IaCスクリプトの単一の設定ミスが広く普及し、システムのダウンタイムとセキュリティリスクが深刻になる。 我々は、IaCセキュリティの臭い検知のためのインテリジェントな静的解析器であるIntelliSAを、シンボリックルールとニューラル推論を統合した。
• 参考スコア（独自算出の注目度）: 2.651906108763802
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Infrastructure as Code (IaC) enables automated provisioning of large-scale cloud and on-premise environments, reducing the need for repetitive manual setup. However, this automation is a double-edged sword: a single misconfiguration in IaC scripts can propagate widely, leading to severe system downtime and security risks. Prior studies have shown that IaC scripts often contain security smells--bad coding patterns that may introduce vulnerabilities--and have proposed static analyzers based on symbolic rules to detect them. Yet, our preliminary analysis reveals that rule-based detection alone tends to over-approximate, producing excessive false positives and increasing the burden of manual inspection. In this paper, we present IntelliSA, an intelligent static analyzer for IaC security smell detection that integrates symbolic rules with neural inference. IntelliSA applies symbolic rules to over-approximate potential smells for broad coverage, then employs neural inference to filter false positives. While an LLM can effectively perform this filtering, reliance on LLM APIs introduces high cost and latency, raises data governance concerns, and limits reproducibility and offline deployment. To address the challenges, we adopt a knowledge distillation approach: an LLM teacher generates pseudo-labels to train a compact student model--over 500x smaller--that learns from the teacher's knowledge and efficiently classifies false positives. We evaluate IntelliSA against two static analyzers and three LLM baselines (Claude-4, Grok-4, and GPT-5) using a human-labeled dataset including 241 security smells across 11,814 lines of real-world IaC code. Experimental results show that IntelliSA achieves the highest F1 score (83%), outperforming baselines by 7-42%. Moreover, IntelliSA demonstrates the best cost-effectiveness, detecting 60% of security smells while inspecting less than 2% of the codebase.
• Abstract（参考訳）: インフラストラクチャ・アズ・コード(IaC)は、大規模なクラウドとオンプレミス環境の自動プロビジョニングを可能にし、反復的な手動セットアップの必要性を減らす。 しかし、この自動化は二重刃の剣であり、IaCスクリプトの単一の設定ミスが広く普及し、システムのダウンタイムとセキュリティリスクが深刻になる。 以前の研究では、IaCスクリプトにはセキュリティの臭いがしばしば含まれており、脆弱性を発生させる可能性のあるコーディングパターンをベースとして、シンボルルールに基づいた静的アナライザが提案されている。 しかし,予備分析の結果,ルールに基づく検出だけで過度に近似し,過剰な偽陽性を発生させ,手動検査の負担を増大させる傾向が示唆された。 本稿では,IaCセキュリティ臭検出のためのインテリジェント静的解析器であるIntelliSAについて述べる。 インテリSAは、広範囲をカバーするために過近似の潜在的な匂いに象徴的な規則を適用し、その後、偽陽性をフィルタリングするために神経推論を用いる。 LLMがこのフィルタリングを効果的に実行する一方で、LLM APIへの依存は、高いコストとレイテンシを導入し、データガバナンスの懸念を高め、再現性とオフラインデプロイメントを制限する。 この課題に対処するために,LLM教師は,教員の知識から学習し,偽陽性を効率的に分類する,コンパクトな学生モデルを訓練するための擬似ラベルを生成する,知識蒸留アプローチを採用する。 我々は,11,814行のIaCコードに対して241のセキュリティ臭を含む人間ラベル付きデータセットを用いて,IntelliSAを2つの静的解析器と3つのLCMベースライン(Claude-4,Grok-4,GPT-5)に対して評価した。 実験の結果,IntelliSAが最も高いF1スコア(83%)を達成し,ベースラインを7～42%上回った。 さらにIntelliSAは、コードベースの2%未満を検査しながら、セキュリティの匂いを60%検出して、最高のコスト効果を示す。

関連論文リスト

• Multi-Agent Taint Specification Extraction for Vulnerability Detection [49.27772068704498]
  コンテナ分析を使用した静的アプリケーションセキュリティテスト(SAST)ツールは、高品質な脆弱性検出結果を提供するものとして広く見なされている。 本稿では,Large Language Models (LLM) のセマンティック理解と従来の静的プログラム解析を戦略的に組み合わせたマルチエージェントシステムであるSemTaintを提案する。 私たちは、SemTaintを最先端のSASTツールであるCodeQLと統合し、これまでCodeQLで検出できなかった162の脆弱性の106を検出して、その効果を実証しています。
  論文  参考訳（メタデータ） (2026-01-15T21:31:51Z)
• SeBERTis: A Framework for Producing Classifiers of Security-Related Issue Reports [8.545800179148442]
  SEBERTISは、Deep Neural Networks(DNN)を語彙的キューに依存しない分類器として訓練するフレームワークである。 当社のフレームワークは,1万件のGitHubイシューレポートをキュレートしたコーパスのセキュリティ関連問題を検出する上で,0.9880のF1スコアを達成した。
  論文  参考訳（メタデータ） (2025-12-17T01:23:11Z)
• DiffuGuard: How Intrinsic Safety is Lost and Found in Diffusion Large Language Models [50.21378052667732]
  我々は、ステップ内およびステップ間ダイナミクスという2つの異なる次元にわたるジェイルブレイク攻撃に対して、dLLM脆弱性の詳細な分析を行う。 デュアルステージアプローチによる脆弱性に対処する,トレーニング不要な防御フレームワークであるDiffuGuardを提案する。
  論文  参考訳（メタデータ） (2025-09-29T05:17:10Z)
• DRIFT: Dynamic Rule-Based Defense with Injection Isolation for Securing LLM Agents [52.92354372596197]
  大規模言語モデル(LLM)は、強力な推論と計画能力のため、エージェントシステムの中心となってきています。 この相互作用は、外部ソースからの悪意のある入力がエージェントの振る舞いを誤解させる可能性がある、インジェクション攻撃のリスクも引き起こす。 本稿では,信頼に値するエージェントシステムのための動的ルールベースの分離フレームワークを提案する。
  論文  参考訳（メタデータ） (2025-06-13T05:01:09Z)
• AegisLLM: Scaling Agentic Systems for Self-Reflective Defense in LLM Security [74.22452069013289]
  AegisLLMは、敵の攻撃や情報漏洩に対する協調的なマルチエージェント防御である。 テスト時のエージェント推論システムのスケーリングは,モデルの有用性を損なうことなく,ロバスト性を大幅に向上させることを示す。 アンラーニングやジェイルブレイクを含む主要な脅威シナリオに対する総合的な評価は、AegisLLMの有効性を示している。
  論文  参考訳（メタデータ） (2025-04-29T17:36:05Z)
• Can LLM Prompting Serve as a Proxy for Static Analysis in Vulnerability Detection [9.269926508651091]
  大規模言語モデル(LLM)は、脆弱性検出などの安全クリティカルなコードタスクに制限があることを示している。 本稿では,脆弱性の自然言語命令を,対照的な連鎖推論と統合する戦略を提案する。 本研究は,静的アナライザの厳格な手作りルールに代えて,セキュリティ対応のプロンプト技術が有効であることを示す。
  論文  参考訳（メタデータ） (2024-12-16T18:08:14Z)
• Security Vulnerability Detection with Multitask Self-Instructed Fine-Tuning of Large Language Models [8.167614500821223]
  脆弱性検出のためのMSIVD, マルチタスクによる自己指示型微調整を, チェーン・オブ・シント・プロンプトとLDMによる自己指示にインスパイアした。 実験の結果,MSIVDは高い性能を示し,LineVul(LLMベースの脆弱性検出ベースライン)はBigVulデータセットでは0.92点,PreciseBugsデータセットでは0.48点であった。
  論文  参考訳（メタデータ） (2024-06-09T19:18:05Z)
• IRIS: LLM-Assisted Static Analysis for Detecting Security Vulnerabilities [14.188864624736938]
  大規模な言語モデル(LLM)は印象的なコード生成機能を示しているが、そのような脆弱性を検出するためにコードに対して複雑な推論を行うことはできない。 我々は,LLMと静的解析を体系的に組み合わせ,セキュリティ脆弱性検出のための全体リポジトリ推論を行うニューロシンボリックアプローチであるIRISを提案する。
  論文  参考訳（メタデータ） (2024-05-27T14:53:35Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。