論文の概要: RAVEN: Retrieval-Augmented Vulnerability Exploration Network for Memory Corruption Analysis in User Code and Binary Programs
- arxiv url: http://arxiv.org/abs/2604.17948v1
- Date: Mon, 20 Apr 2026 08:29:48 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-04-21 21:52:52.765116
- Title: RAVEN: Retrieval-Augmented Vulnerability Exploration Network for Memory Corruption Analysis in User Code and Binary Programs
- Title(参考訳): RAVEN: ユーザコードとバイナリプログラムにおけるメモリ破壊解析のための検索拡張脆弱性探索ネットワーク
- Authors: Parteek Jamwal, Minghao Shao, Boyuan Chen, Achyuta Muthuvelan, Asini Subanya, Boubacar Ballo, Kashish Satija, Mariam Shafey, Mohamed Mahmoud, Moncif Dahaji Bouffi, Pasindu Wickramasinghe, Siyona Goel, Yaakulya Sabbani, Hakim Hacid, Mthandazo Ndhlovu, Eleanna Kafeza, Sanjay Rawat, Muhammad Shafique,
- Abstract要約: 本稿では,包括的脆弱性分析レポートを合成するフレームワークであるRAVENを提案する。
脆弱性のあるソースコードが与えられた後、RAVENはGoogle Project Zero Root Cause Analysisテンプレートに従ってレポートを生成する。
NIST-SARDデータセットから15のCWE型をカバーする105の脆弱性コードサンプル上でRAVENを評価する。
- 参考スコア(独自算出の注目度): 6.494271734199338
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Large Language Models (LLMs) have demonstrated remarkable capabilities across various cybersecurity tasks, including vulnerability classification, detection, and patching. However, their potential in automated vulnerability report documentation and analysis remains underexplored. We present RAVEN (Retrieval Augmented Vulnerability Exploration Network), a framework leveraging LLM agents and Retrieval Augmented Generation (RAG) to synthesize comprehensive vulnerability analysis reports. Given vulnerable source code, RAVEN generates reports following the Google Project Zero Root Cause Analysis template. The framework uses four modules: an Explorer agent for vulnerability identification, a RAG engine retrieving relevant knowledge from curated databases including Google Project Zero reports and CWE entries, an Analyst agent for impact and exploitation assessment, and a Reporter agent for structured report generation. To ensure quality, RAVEN includes a task specific LLM Judge evaluating reports across structural integrity, ground truth alignment, code reasoning quality, and remediation quality. We evaluate RAVEN on 105 vulnerable code samples covering 15 CWE types from the NIST-SARD dataset. Results show an average quality score of 54.21%, supporting the effectiveness of our approach for automated vulnerability documentation.
- Abstract(参考訳): 大規模言語モデル(LLM)は、脆弱性分類、検出、パッチングなど、さまざまなサイバーセキュリティタスクにまたがる顕著な機能を示している。
しかしながら、自動化された脆弱性レポートのドキュメントと分析の可能性については、まだ未調査である。
本稿では,LLMエージェントとレトリーバル拡張生成(RAG)を活用するフレームワークであるRAVEN(Retrieval Augmented Vulnerability Exploration Network)について述べる。
脆弱性のあるソースコードが与えられた後、RAVENはGoogle Project Zero Root Cause Analysisテンプレートに従ってレポートを生成する。
このフレームワークは4つのモジュールを使用する: 脆弱性識別のためのエクスプローラーエージェント、Google Project ZeroレポートやCWEエントリを含むキュレートされたデータベースから関連する知識を取得するRAGエンジン、影響とエクスプロイト評価のためのアナリストエージェント、構造化レポート生成のためのレポートエージェント。
品質を保証するため、RAVENには、構造的整合性、真実の整合性、コード推論の品質、修復品質に関する報告を評価するタスク固有のLCMジャッジが含まれている。
NIST-SARDデータセットから15のCWE型をカバーする105の脆弱性コードサンプル上でRAVENを評価する。
その結果、54.21%の平均品質スコアが示され、自動脆弱性文書に対する我々のアプローチの有効性が裏付けられた。
関連論文リスト
- AXE: An Agentic eXploit Engine for Confirming Zero-Day Vulnerability Reports [9.184243224127377]
Agentic eXploit Engine (AXE)は、Webアプリケーションを利用するためのマルチエージェントフレームワークである。
AXEは30%のエクスプロイト成功率を実現しており、最先端のブラックボックスベースラインよりも3倍改善されている。
エクスプロイトの成功のために、AXEは実行可能で再現可能な概念実証成果物を生成する。
論文 参考訳(メタデータ) (2026-02-15T23:25:14Z) - Co-RedTeam: Orchestrated Security Discovery and Exploitation with LLM Agents [57.49020237126194]
大規模言語モデル(LLM)はサイバーセキュリティタスクを支援することを約束しているが、既存のアプローチでは自動脆弱性発見とエクスプロイトに苦労している。
Co-RedTeamは,現実世界のレッドチームのミラーリングを目的とした,セキュリティを意識したマルチエージェントフレームワークである。
Co-RedTeamは、脆弱性分析をコーディネートされた発見およびエクスプロイトステージに分解し、エージェントがアクションを計画、実行、検証、洗練できるようにする。
論文 参考訳(メタデータ) (2026-02-02T14:38:45Z) - Automated Vulnerability Validation and Verification: A Large Language Model Approach [7.482522010482827]
本稿では、生成AI、特に大規模言語モデル(LLM)を利用したエンドツーエンド多段階パイプラインを提案する。
本手法は,国立脆弱性データベース(National Vulnerability Database)のCVE開示情報から抽出する。
これは、Retrieval-Augmented Generation (RAG)を使用して、外部の公開知識(例えば、脅威アドバイザリ、コードスニペット)で拡張する。
パイプラインは生成されたアーティファクトを反復的に洗練し、テストケースでのアタック成功を検証し、複雑なマルチコンテナセットアップをサポートする。
論文 参考訳(メタデータ) (2025-09-28T19:16:12Z) - ReliabilityRAG: Effective and Provably Robust Defense for RAG-based Web-Search [69.60882125603133]
本稿では,検索した文書の信頼性情報を明確に活用する,敵対的堅牢性のためのフレームワークであるReliabilityRAGを提案する。
我々の研究は、RAGの回収されたコーパスの腐敗に対するより効果的で確実に堅牢な防御に向けた重要な一歩である。
論文 参考訳(メタデータ) (2025-09-27T22:36:42Z) - VulAgent: Hypothesis-Validation based Multi-Agent Vulnerability Detection [55.957275374847484]
VulAgentは仮説検証に基づくマルチエージェント脆弱性検出フレームワークである。
セマンティクスに敏感なマルチビュー検出パイプラインを実装しており、それぞれが特定の分析の観点から一致している。
平均して、VulAgentは全体的な精度を6.6%改善し、脆弱性のある固定されたコードペアの正確な識別率を最大450%向上させ、偽陽性率を約36%削減する。
論文 参考訳(メタデータ) (2025-09-15T02:25:38Z) - SeCodePLT: A Unified Platform for Evaluating the Security of Code GenAI [58.29510889419971]
コード生成大型言語モデル(LLM)のセキュリティリスクと能力を評価するための既存のベンチマークは、いくつかの重要な制限に直面している。
手動で検証し、高品質なシード例から始める、汎用的でスケーラブルなベンチマーク構築フレームワークを導入し、ターゲット突然変異を通じて拡張する。
このフレームワークをPython、C/C++、Javaに適用すると、44のCWEベースのリスクカテゴリと3つのセキュリティ機能にまたがる5.9k以上のサンプルデータセットであるSeCodePLTが構築されます。
論文 参考訳(メタデータ) (2024-10-14T21:17:22Z) - "Glue pizza and eat rocks" -- Exploiting Vulnerabilities in Retrieval-Augmented Generative Models [74.05368440735468]
Retrieval-Augmented Generative (RAG)モデルにより大規模言語モデル(LLM)が強化される
本稿では,これらの知識基盤の開放性を敵が活用できるセキュリティ上の脅威を示す。
論文 参考訳(メタデータ) (2024-06-26T05:36:23Z) - Vul-RAG: Enhancing LLM-based Vulnerability Detection via Knowledge-level RAG [19.38891892396794]
Vul-RAGによって生成された脆弱性知識は、手動検出精度を向上させるための高品質な説明として機能する。
Vul-RAGはまた、最近のLinuxカーネルリリースで既知の10のバグを6つのアサインされたCVEで検出できる。
論文 参考訳(メタデータ) (2024-06-17T02:25:45Z) - VulDetectBench: Evaluating the Deep Capability of Vulnerability Detection with Large Language Models [12.465060623389151]
本研究では,Large Language Models(LLM)の脆弱性検出機能を評価するために,新しいベンチマークであるVulDetectBenchを紹介する。
このベンチマークは、LLMの脆弱性を特定し、分類し、発見する能力を、難易度を高める5つのタスクを通じて総合的に評価している。
本ベンチマークでは,脆弱性検出の特定のタスクにおいて,様々なLLMの能力評価を効果的に行うとともに,コードセキュリティの重要領域における今後の研究と改善の基盤となる。
論文 参考訳(メタデータ) (2024-06-11T13:42:57Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。