論文の概要: From Detection to Prevention: Explaining Security-Critical Code to Avoid Vulnerabilities

• arxiv url: http://arxiv.org/abs/2602.00711v1
• Date: Sat, 31 Jan 2026 13:16:01 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-02-03 19:28:33.352571
• Title: From Detection to Prevention: Explaining Security-Critical Code to Avoid Vulnerabilities
• Title（参考訳）: 検出から防止へ:セキュリティクリティカルなコードの説明から脆弱性回避
• Authors: Ranjith Krishnamurthy, Oshando Johnson, Goran Piskachev, Eric Bodden,
• Abstract要約: この研究は、セキュリティクリティカルな機能を実装するコード領域を強調することによって、脆弱性を防止するための積極的な戦略を探求する。 コードレベルのソフトウェアメトリクスを使用してセキュリティクリティカルなメソッドを識別するIntelliJ IDEAプラグインのプロトタイプを提示する。
• 参考スコア（独自算出の注目度）: 2.490168997159702
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Security vulnerabilities often arise unintentionally during development due to a lack of security expertise and code complexity. Traditional tools, such as static and dynamic analysis, detect vulnerabilities only after they are introduced in code, leading to costly remediation. This work explores a proactive strategy to prevent vulnerabilities by highlighting code regions that implement security-critical functionality -- such as data access, authentication, and input handling -- and providing guidance for their secure implementation. We present an IntelliJ IDEA plugin prototype that uses code-level software metrics to identify potentially security-critical methods and large language models (LLMs) to generate prevention-oriented explanations. Our initial evaluation on the Spring-PetClinic application shows that the selected metrics identify most known security-critical methods, while an LLM provides actionable, prevention-focused insights. Although these metrics capture structural properties rather than semantic aspects of security, this work lays the foundation for code-level security-aware metrics and enhanced explanations.
• Abstract（参考訳）: セキュリティに関する専門知識やコードの複雑さが不足しているため、開発中に意図しない脆弱性が発生することが多い。 静的解析や動的解析といった従来のツールは、コードに導入された後のみ脆弱性を検出するため、コストがかかる。 この研究は、データアクセス、認証、入力処理などのセキュリティクリティカルな機能を実装するコード領域を強調し、セキュアな実装のためのガイダンスを提供することによって、脆弱性を防止するための積極的な戦略を探究する。 本稿では,コードレベルのソフトウェアメトリクスを用いて,セキュリティクリティカルなメソッドや大規模言語モデル(LLM)を特定し,予防指向の説明を生成するIntelliJ IDEAプラグインのプロトタイプを提案する。 Spring-PetClinicアプリケーションに関する最初の評価では、選択されたメトリクスが最も既知のセキュリティクリティカルなメソッドを特定しているのに対し、LLMは実行可能で予防に焦点を当てた洞察を提供しています。 これらのメトリクスは、セキュリティのセマンティックな側面ではなく、構造的な特性をキャプチャするが、この研究は、コードレベルのセキュリティ対応メトリクスと説明の強化の基礎となる。

関連論文リスト

• Towards Verifiably Safe Tool Use for LLM Agents [53.55621104327779]
  大規模言語モデル(LLM)ベースのAIエージェントは、データソース、API、検索エンジン、コードサンドボックス、さらにはその他のエージェントなどのツールへのアクセスを可能にすることで、機能を拡張する。 LLMは意図しないツールインタラクションを起動し、機密データを漏洩したり、クリティカルレコードを上書きしたりするリスクを発生させる。 モデルベースセーフガードのようなリスクを軽減するための現在のアプローチは、エージェントの信頼性を高めるが、システムの安全性を保証することはできない。
  論文  参考訳（メタデータ） (2026-01-12T21:31:38Z)
• An Empirical Study on the Security Vulnerabilities of GPTs [48.12756684275687]
  GPTは、OpenAIの大規模言語モデルに基づいた、カスタマイズされたAIエージェントの一種である。 本稿では,GPTのセキュリティ脆弱性に関する実証的研究について述べる。
  論文  参考訳（メタデータ） (2025-11-28T13:30:25Z)
• Secure Tug-of-War (SecTOW): Iterative Defense-Attack Training with Reinforcement Learning for Multimodal Model Security [63.41350337821108]
  マルチモーダル大規模言語モデル(MLLM)のセキュリティを高めるために,Secure Tug-of-War(SecTOW)を提案する。 SecTOWは2つのモジュールで構成される:ディフェンダーと補助攻撃者。どちらも強化学習(GRPO)を使用して反復的に訓練される。 SecTOWは、一般的な性能を維持しながら、セキュリティを大幅に改善することを示す。
  論文  参考訳（メタデータ） (2025-07-29T17:39:48Z)
• LLM Agents Should Employ Security Principles [60.03651084139836]
  本稿では,大規模言語モデル(LLM)エージェントを大規模に展開する際には,情報セキュリティの確立した設計原則を採用するべきであることを論じる。 AgentSandboxは、エージェントのライフサイクル全体を通して保護を提供するために、これらのセキュリティ原則を組み込んだ概念的なフレームワークである。
  論文  参考訳（メタデータ） (2025-05-29T21:39:08Z)
• Enhancing Cloud Security through Topic Modelling [0.6117371161379209]
  本研究では,NLP(Natural Language Processing)技術を用いて,セキュリティ関連テキストデータを解析し,潜在的な脅威を予測している。 本稿では,LDA(Latent Dirichlet Allocation)とPLSA(Probabilistic Latent Semantic Analysis)に着目し,データソースから意味のあるパターンを抽出する。
  論文  参考訳（メタデータ） (2025-05-01T19:17:20Z)
• A Comprehensive Study of LLM Secure Code Generation [19.82291066720634]
  これまでの研究は主に、生成されたコードの脆弱性を検出するために、単一の静的アナライザであるCodeQLに依存していた。 セキュリティ検査と機能検証の両方を同一生成コードに適用し、これら2つの側面をまとめて評価する。 我々の研究は、既存の技術が多くの場合、生成したコードの機能を損なうことにより、セキュリティが向上することを示した。
  論文  参考訳（メタデータ） (2025-03-18T20:12:50Z)
• Tit-for-Tat: Safeguarding Large Vision-Language Models Against Jailbreak Attacks via Adversarial Defense [90.71884758066042]
  大きな視覚言語モデル(LVLM)は、視覚入力による悪意のある攻撃に対する感受性という、ユニークな脆弱性を導入している。 本稿では,脆弱性発生源からアクティブ防衛機構へ視覚空間を変換するための新しい手法であるESIIIを提案する。
  論文  参考訳（メタデータ） (2025-03-14T17:39:45Z)
• Is Your AI-Generated Code Really Safe? Evaluating Large Language Models on Secure Code Generation with CodeSecEval [20.959848710829878]
  大規模言語モデル(LLM)は、コード生成とコード修復に大きな進歩をもたらした。 しかし、GitHubのようなオープンソースのリポジトリから無防備なデータを使用したトレーニングは、セキュリティ上の脆弱性を必然的に伝播するリスクを増大させる。 我々は,コードLLMのセキュリティ面を正確に評価し,拡張することを目的とした総合的研究を提案する。
  論文  参考訳（メタデータ） (2024-07-02T16:13:21Z)
• A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
  コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。 本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。 実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
  論文  参考訳（メタデータ） (2024-01-19T14:52:04Z)
• A Novel Approach to Identify Security Controls in Source Code [4.598579706242066]
  本稿では,一般的なセキュリティ制御の包括的リストを列挙し,それぞれにデータセットを作成する。 最新のNLP技術であるBERT(Bidirectional Representations from Transformers)とTactic Detector(Tactic Detector)を使って、セキュリティコントロールを高い信頼性で識別できることを示しています。
  論文  参考訳（メタデータ） (2023-07-10T21:14:39Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。