論文の概要: Who Said CVE? How Vulnerability Identifiers Are Mentioned by Humans, Bots, and Agents in Pull Requests

• arxiv url: http://arxiv.org/abs/2601.19636v1
• Date: Tue, 27 Jan 2026 14:13:08 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-02-04 13:36:07.888961
• Title: Who Said CVE? How Vulnerability Identifiers Are Mentioned by Humans, Bots, and Agents in Pull Requests
• Title（参考訳）: 誰がCVEを言ったのか? プルリクエストで人間、ボット、エージェントが脆弱性を識別する方法
• Authors: Pien Rooijendijk, Christoph Treude, Mairieli Wessel,
• Abstract要約: この記事では、自律エージェント、ボット、ヒューマン開発者によって書かれたGitHubのプルリクエストで使用される脆弱性IDを比較します。 ボットはすべての言及の69.1%を占め、プルリクエスト記述に識別子をほとんど追加しない。 人間とエージェントは、修正、メンテナンス、議論をサポートするためにそれを使う。
• 参考スコア（独自算出の注目度）: 8.26054481096776
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Vulnerability identifiers such as CVE, CWE, and GHSA are standardised references to known software security issues, yet their use in practice is not well understood. This paper compares vulnerability ID use in GitHub pull requests authored by autonomous agents, bots, and human developers. Using the AIDev pop dataset and an augmented set of pull requests from the same repositories, we analyse who mentions vulnerability identifiers and where they appear. Bots account for around 69.1% of all mentions, usually adding few identifiers in pull request descriptions, while human and agent mentions are rarer but span more locations. Qualitative analysis shows that bots mainly reference identifiers in automated dependency updates and audits, whereas humans and agents use them to support fixes, maintenance, and discussion.
• Abstract（参考訳）: CVE、CWE、GHSAなどの脆弱性識別子は、既知のソフトウェアセキュリティ問題への標準参照である。 この記事では、自律エージェント、ボット、ヒューマン開発者によって書かれたGitHubのプルリクエストで使用される脆弱性IDを比較します。 AIDevのポップデータセットと、同じリポジトリからのプルリクエストの強化セットを使用して、脆弱性識別子とそれらがどこに現れるのかを解析します。 ボットはすべての言及の69.1%を占め、通常プルリクエスト記述に識別子をほとんど追加しないが、人間とエージェントの言及は稀だがより多くの場所にまたがっている。 質的な分析によると、ボットは主に自動依存関係更新と監査で識別子を参照しているのに対して、人間とエージェントは修正、メンテナンス、議論をサポートするためにそれを使用している。

関連論文リスト

• Security in the Age of AI Teammates: An Empirical Study of Agentic Pull Requests on GitHub [4.409447722044799]
  本研究の目的は,自律型コーディングエージェントが実際にソフトウェアセキュリティにどのように貢献するかを特徴付けることである。 AIDevデータセットを用いてエージェントによるPRの大規模解析を行う。 次に、頻度、受け入れ結果を分析し、自律エージェント、プログラミングエコシステム、コード変更のタイプをレビューします。
  論文  参考訳（メタデータ） (2026-01-01T21:14:11Z)
• Holistic Agent Leaderboard: The Missing Infrastructure for AI Agent Evaluation [87.47155146067962]
  数百のタスクで並列評価をオーケストレーションする,標準化された評価ハーネスを提供する。 モデル、足場、ベンチマークにまたがる3次元解析を行う。 私たちの分析では、ほとんどのランで精度を低下させる高い推論努力など、驚くべき洞察が示されています。
  論文  参考訳（メタデータ） (2025-10-13T22:22:28Z)
• Attacks by Content: Automated Fact-checking is an AI Security Issue [1.5770741892463622]
  これまでの研究では、攻撃者が悪意のある指示を注入する間接的なプロンプトインジェクションが研究されてきた。 我々は、エージェントを操作するために命令の注入は必要ないと主張する。 隠れたコマンドを検出することに焦点を当てた既存の防御は、コンテンツによる攻撃に対して効果がない。
  論文  参考訳（メタデータ） (2025-10-13T10:18:48Z)
• On the Use of Agentic Coding: An Empirical Study of Pull Requests on GitHub [6.7302091035327285]
  大規模言語モデル(LLM)は、ソフトウェア開発プロセスに統合されつつある。 自律的なAIエージェントを使用して、コードを生成し、人間の介入を最小限に抑えたプルリクエストを提出する能力は、標準のプラクティスになる可能性がある。 エージェントコーディングツールであるClaude Codeを使って生成した567のGitHubプルリクエスト(PR)を、157のオープンソースプロジェクトで実証研究しました。
  論文  参考訳（メタデータ） (2025-09-18T08:48:32Z)
• OS-Harm: A Benchmark for Measuring Safety of Computer Use Agents [60.78202583483591]
  コンピュータ使用エージェントの安全性を計測する新しいベンチマークであるOS-Harmを紹介する。 OS-HarmはOSWorld環境上に構築されており、故意のユーザ誤用、インジェクション攻撃、モデル誤動作の3つのカテゴリでモデルをテストすることを目指している。 我々は、フロンティアモデルに基づいてコンピュータ利用エージェントを評価し、その安全性に関する洞察を提供する。
  論文  参考訳（メタデータ） (2025-06-17T17:59:31Z)
• VPI-Bench: Visual Prompt Injection Attacks for Computer-Use Agents [74.6761188527948]
  完全なシステムアクセスを持つコンピュータ利用エージェント(CUA)は、セキュリティとプライバシの重大なリスクを負う。 我々は、悪意のある命令がレンダリングされたユーザーインターフェイスに視覚的に埋め込まれた視覚的プロンプトインジェクション(VPI)攻撃について検討する。 実験により,現在のCUAとBUAは,それぞれのプラットフォーム上で最大51%,100%の速度で騙すことができることがわかった。
  論文  参考訳（メタデータ） (2025-06-03T05:21:50Z)
• Reducing Alert Fatigue via AI-Assisted Negotiation: A Case for Dependabot [2.9497620776025046]
  本稿では,人工知能(AI)エージェントを依存ネゴシエータとして使用する立場について述べる。 本稿では,AIエージェントが依存交渉を容易にする特定のユースケースについて検討する。 私たちの目標は、メンテナが圧倒されたと感じなくなり、プルリクエストを歓迎するほど、アラートの疲労を軽減することです。
  論文  参考訳（メタデータ） (2025-02-10T05:58:21Z)
• Dissecting Adversarial Robustness of Multimodal LM Agents [70.2077308846307]
  我々は、VisualWebArena上に現実的な脅威モデルを用いて、200の敵タスクと評価スクリプトを手動で作成する。 我々は,クロボックスフロンティアLMを用いた最新のエージェントを,リフレクションやツリーサーチを行うエージェントを含む,壊すことに成功している。 AREを使用して、新しいコンポーネントの追加に伴うロバスト性の変化を厳格に評価しています。
  論文  参考訳（メタデータ） (2024-06-18T17:32:48Z)
• My Brother Helps Me: Node Injection Based Adversarial Attack on Social Bot Detection [69.99192868521564]
  Twitterのようなソーシャルプラットフォームは、数多くの不正なユーザーから包囲されている。 ソーシャルネットワークの構造のため、ほとんどの手法は攻撃を受けやすいグラフニューラルネットワーク(GNN)に基づいている。 本稿では,ボット検出モデルを欺いたノードインジェクションに基づく逆攻撃手法を提案する。
  論文  参考訳（メタデータ） (2023-10-11T03:09:48Z)
• A ground-truth dataset and classification model for detecting bots in GitHub issue and PR comments [70.1864008701113]
  ボットはGithubリポジトリで、分散ソフトウェア開発プロセスの一部である反復的なアクティビティを自動化するために使用されている。 本稿では,5000のGithubアカウントのプルリクエストとコメント発行に関する,高い相互契約を伴う手動分析に基づいて,基幹トラスデータセットを提案する。 ボットを検出する自動分類モデルを提案し,各アカウントの空のコメント数と空でないコメント数,コメントパターンの数,コメントパターン内のコメント間の不平等を主特徴とする。
  論文  参考訳（メタデータ） (2020-10-07T09:30:52Z)
• Detecting and Characterizing Bots that Commit Code [16.10540443996897]
  著者名,コミットメッセージ,コミットによって修正されたファイル,オムミットに関連するプロジェクトを用いて,ボットを検出するための体系的なアプローチを提案する。 私たちは、発見した461のボット(全員が1000以上のコミットを持っている)と13,762,430のコミットに関する詳細な情報を含む、共有可能なデータセットをコンパイルしました。
  論文  参考訳（メタデータ） (2020-03-02T21:54:07Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。