論文の概要: Beyond Function-Level Analysis: Context-Aware Reasoning for Inter-Procedural Vulnerability Detection

• arxiv url: http://arxiv.org/abs/2602.06751v1
• Date: Fri, 06 Feb 2026 14:49:49 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-02-09 22:18:26.431583
• Title: Beyond Function-Level Analysis: Context-Aware Reasoning for Inter-Procedural Vulnerability Detection
• Title（参考訳）: 関数レベル解析を超えて:手続き間脆弱性検出のためのコンテキスト認識推論
• Authors: Yikun Li, Ting Zhang, Jieke Shi, Chengran Yang, Junda He, Xin Zhou, Jinfeng Jiang, Huihui Huang, Wen Bin Leow, Yide Yin, Eng Lieh Ouh, Lwin Khin Shar, David Lo,
• Abstract要約: 本稿では,コンテキスト認識型脆弱性検出フレームワークCPRVulを提案する。 CPRVulは関数のみのベースラインを一貫して上回ることを示す。 また、処理コンテキストが構造化推論とペアリングされている場合にのみゲインが発生することを示す。
• 参考スコア（独自算出の注目度）: 13.077617614021863
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Recent progress in ML and LLMs has improved vulnerability detection, and recent datasets have reduced label noise and unrelated code changes. However, most existing approaches still operate at the function level, where models are asked to predict whether a single function is vulnerable without inter-procedural context. In practice, vulnerability presence and root cause often depend on contextual information. Naively appending such context is not a reliable solution: real-world context is long, redundant, and noisy, and we find that unstructured context frequently degrades the performance of strong fine-tuned code models. We present CPRVul, a context-aware vulnerability detection framework that couples Context Profiling and Selection with Structured Reasoning. CPRVul constructs a code property graph, and extracts candidate context. It then uses an LLM to generate security-focused profiles and assign relevance scores, selecting only high-impact contextual elements that fit within the model's context window. In the second phase, CPRVul integrates the target function, the selected context, and auxiliary vulnerability metadata to generate reasoning traces, which are used to fine-tune LLMs for reasoning-based vulnerability detection. We evaluate CPRVul on three high-quality vulnerability datasets: PrimeVul, TitanVul, and CleanVul. Across all datasets, CPRVul consistently outperforms function-only baselines, achieving accuracies ranging from 64.94% to 73.76%, compared to 56.65% to 63.68% for UniXcoder. Specifically, on the challenging PrimeVul benchmark, CPRVul achieves 67.78% accuracy, outperforming prior state-of-the-art approaches, improving accuracy from 55.17% to 67.78% (22.9% improvement). Our ablations further show that neither raw context nor processed context alone benefits strong code models; gains emerge only when processed context is paired with structured reasoning.
• Abstract（参考訳）: MLとLLMの最近の進歩は脆弱性検出を改善し、最近のデータセットはラベルノイズと無関係なコード変更を減らす。 しかし、既存のほとんどのアプローチは、関数レベルで動作しており、モデルには、プロセス間コンテキストなしで単一の関数が脆弱かどうかを予測するように求められている。 実際には、脆弱性の存在と根本原因はしばしば文脈情報に依存する。 現実世界のコンテキストは長く、冗長で、騒々しく、構造化されていないコンテキストは、強い微調整されたコードモデルの性能を劣化させることが多い。 本稿では,コンテキストプロファイリングと構造化推論による選択を併用したコンテキスト認識型脆弱性検出フレームワークCPRVulを提案する。 CPRVulはコードプロパティグラフを構築し、候補コンテキストを抽出する。 次にLLMを使用して、セキュリティを重視したプロファイルを生成し、関連するスコアを割り当て、モデルのコンテキストウィンドウに適合する高インパクトなコンテキスト要素のみを選択する。 第2フェーズでは、CPRVulはターゲット関数、選択されたコンテキスト、補助的な脆弱性メタデータを統合して、推論に基づく脆弱性検出のためにLLMを微調整するために使用される推論トレースを生成する。 CPRVulを、PrimeVul、TitanVul、CleanVulの3つの高品質な脆弱性データセットで評価する。 すべてのデータセットで、CPRVulは関数のみのベースラインを一貫して上回り、64.94%から73.76%のアキュラシーを達成している。 具体的には、挑戦的なPrimeVulベンチマークにおいて、CPRVulは67.78%の精度を達成し、最先端のアプローチよりも優れ、精度は55.17%から67.78%(22.9%の改善)に向上した。 私たちの主張は、生のコンテキストと処理されたコンテキストだけでは、強力なコードモデルに利益が得られないことを示している。

関連論文リスト

• VIRO: Robust and Efficient Neuro-Symbolic Reasoning with Verification for Referring Expression Comprehension [51.76841625486355]
  Referring Expression (REC) は、自然言語クエリに対応する画像領域をローカライズすることを目的としている。 最近のニューロシンボリックRECアプローチは、大規模言語モデル(LLM)と視覚言語モデル(VLM)を利用して構成推論を行う。 推論ステップ内に軽量な演算子レベルの検証器を組み込む,ニューロシンボリックなフレームワークであるVIROを紹介する。
  論文  参考訳（メタデータ） (2026-01-19T07:21:19Z)
• VulAgent: Hypothesis-Validation based Multi-Agent Vulnerability Detection [55.957275374847484]
  VulAgentは仮説検証に基づくマルチエージェント脆弱性検出フレームワークである。 セマンティクスに敏感なマルチビュー検出パイプラインを実装しており、それぞれが特定の分析の観点から一致している。 平均して、VulAgentは全体的な精度を6.6%改善し、脆弱性のある固定されたコードペアの正確な識別率を最大450%向上させ、偽陽性率を約36%削減する。
  論文  参考訳（メタデータ） (2025-09-15T02:25:38Z)
• SAVANT: Vulnerability Detection in Application Dependencies through Semantic-Guided Reachability Analysis [6.989158266868967]
  Java開発におけるオープンソースのサードパーティライブラリの依存関係の統合は、重大なセキュリティリスクをもたらす。 Savantは、セマンティックプリプロセッシングとLLMによるコンテキスト分析を組み合わせて、正確な脆弱性検出を行う。 Savantは83.8%の精度、73.8%のリコール、69.0%の精度、78.5%のF1スコアを達成し、最先端のSCAツールを上回っている。
  論文  参考訳（メタデータ） (2025-06-21T19:48:13Z)
• SecVulEval: Benchmarking LLMs for Real-World C/C++ Vulnerability Detection [8.440793630384546]
  大規模言語モデル(LLM)は、ソフトウェア工学のタスクにおいて有望であることを示している。 高品質なデータセットがないため、脆弱性検出の有効性を評価するのは難しい。 このベンチマークには、1999年から2024年までのC/C++プロジェクトで5,867のCVEをカバーする25,440の関数サンプルが含まれている。
  論文  参考訳（メタデータ） (2025-05-26T11:06:03Z)
• Learning to Focus: Context Extraction for Efficient Code Vulnerability Detection with Language Models [16.23854525619129]
  言語モデル(LM)は脆弱性検出の約束を示すが、脆弱で不確実な脆弱性位置のため、長く現実世界のコードに苦労する。 本研究では、LMに基づく脆弱性検出を学習し、センシティブなコンテキストを選択するモデルに依存しないフレームワークであるFocusVulを提案する。
  論文  参考訳（メタデータ） (2025-05-23T04:41:54Z)
• Adaptive Distraction: Probing LLM Contextual Robustness with Automated Tree Search [76.54475437069395]
  大きな言語モデル(LLM)は、意味的に一貫性があるがタスクに依存しないコンテキスト情報に直面している場合、元のパフォーマンスを維持するのに苦労することが多い。 本稿では,木探索に基づく動的散逸生成フレームワークを提案する。
  論文  参考訳（メタデータ） (2025-02-03T18:43:36Z)
• Making Retrieval-Augmented Language Models Robust to Irrelevant Context [55.564789967211844]
  ALMの重要なデシプラタムは、検索された情報が関連する場合のパフォーマンスをモデル化するのに役立つことである。 近年の研究では、検索の増大がパフォーマンスに悪影響を及ぼすことが示されている。
  論文  参考訳（メタデータ） (2023-10-02T18:52:35Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。