論文の概要: VulKey: Automated Vulnerability Repair Guided by Domain-Specific Repair Patterns

• arxiv url: http://arxiv.org/abs/2605.01769v2
• Date: Thu, 07 May 2026 05:15:42 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-05-08 17:36:05.965374
• Title: VulKey: Automated Vulnerability Repair Guided by Domain-Specific Repair Patterns
• Title（参考訳）: VulKey: ドメイン特有な修復パターンでガイドされた脆弱性の自動修復
• Authors: Jia Li, Zhuangbin Chen, Yuxin Su, Michael R. Lyu,
• Abstract要約: VulKeyは、パッチ生成をガイドする専門家知識の階層的な抽象化である。 新たな3レベル抽象化は,CWEタイプ,構文的アクション,意味的キー要素の観点から,修復戦略を定式化する。 VulKeyは31.5%の精度を達成し、最高のベースラインを7.6%上回り、VulMasterやGPT-5といった先進的なツールを上回っている。
• 参考スコア（独自算出の注目度）: 36.99523534749563
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: The increasing prevalence of software vulnerabilities highlights the need for effective Automatic Vulnerability Repair (AVR) tools. While LLM-based approaches are promising, they struggle to incorporate structured security knowledge from sources like CWE and NVD. Current methods either use this information superficially by concatenating the CWE-ID into the input prompt, yielding negligible benefits, or rely on few-shot learning with rigid, non-generalizable examples, which limits their effectiveness in real-world scenarios. To address this gap, we propose VulKey, an LLM-based AVR framework that leverages a hierarchical abstraction of expert knowledge to guide patch generation. Our novel three-level abstraction formulates repair strategies in terms of CWE type, syntactic actions, and semantic key elements. This approach captures the essence of a security fix with greater generality than concrete examples and more semantic richness than traditional syntax-based templates, overcoming the coverage limitations of prior methods. VulKey is implemented as a two-stage pipeline: first, expert knowledge matching predicts an appropriate repair pattern for the vulnerability; second, repair code generation uses a pattern-guided, fine-tuned LLM to produce secure patches. On the real-world C/C++ dataset PrimeVul, VulKey achieves 31.5% repair accuracy, surpassing the best baseline by 7.6% and outperforming leading tools such as VulMaster and GPT-5. Moreover, VulKey demonstrates cross-language and cross-model generalizability, with state-of-the-art performance on the Java benchmark Vul4J. These results underscore the importance of structured expert knowledge in advancing AVR effectiveness. Our work demonstrates that explicitly modeling and integrating expert security knowledge through hierarchical patterns is a crucial step toward building more effective and reliable AVR tools.
• Abstract（参考訳）: ソフトウェア脆弱性の増加は、効果的な自動脆弱性修復(AVR)ツールの必要性を強調している。 LLMベースのアプローチは有望だが、CWEやNVDといったソースからの構造化されたセキュリティ知識を組み込むのに苦労している。 現在の手法では、CWE-IDを入力プロンプトに結合し、無視可能な利点を与えるか、厳密で一般化不可能な例で数発の学習を頼りにすることで、現実のシナリオにおけるそれらの有効性を制限している。 このギャップに対処するために、我々は、専門家知識の階層的抽象化を利用してパッチ生成をガイドするLLMベースのAVRフレームワークであるVulKeyを提案する。 提案する3レベル抽象公式は,CWEタイプ,構文的アクション,意味的キー要素の観点から,修復戦略を定式化する。 このアプローチは、具体的な例よりも汎用性が高く、従来の構文ベースのテンプレートよりも意味豊かなセキュリティ修正の本質を捉え、以前のメソッドのカバレッジ制限を克服する。 VulKeyは2段階のパイプラインとして実装されている: まず、専門家の知識マッチングが脆弱性の適切な修復パターンを予測する。 現実世界のC/C++データセットであるPrimeVulでは、VulKeyが31.5%の修正精度を達成し、最高のベースラインを7.6%上回り、VulMasterやGPT-5といった先進的なツールを上回っている。 さらに、VulKeyは、JavaベンチマークのVul4Jで最先端のパフォーマンスで、言語とモデル間の一般化性を実証している。 これらの結果は、AVRの有効性向上における構造化専門家知識の重要性を浮き彫りにしている。 私たちの研究は、階層的なパターンを通じて専門家のセキュリティ知識を明示的にモデリングし統合することが、より効果的で信頼性の高いAVRツールを構築するための重要なステップであることを実証しています。

関連論文リスト

• SecPI: Secure Code Generation with Reasoning Models via Security Reasoning Internalization [50.71047638695205]
  RLM(Reasoning Language Model)は、プログラミングにおいてますます使われている言語モデルである。 しかし、最先端のRLMでさえ、生成されたコードに重大なセキュリティ脆弱性を頻繁に導入する。 我々は、構造化されたセキュリティ推論を内部化するためのRTMを教える微調整パイプラインであるSecPIを提案する。
  論文  参考訳（メタデータ） (2026-04-04T04:29:11Z)
• From Theory to Practice: Code Generation Using LLMs for CAPEC and CWE Frameworks [2.7662026539843123]
  本稿では、CAPECおよびCWE記述に対応する脆弱性のあるコードスニペットの例を示す新しいデータセットを提案する。 このデータセットは、自動脆弱性検出と修復に焦点を当てた機械学習モデルをトレーニングするための貴重なリソースである。 最後のデータセットは、Java、Python、JavaScriptの3つのプログラミング言語で615のCAPECコードスニペットで構成されている。
  論文  参考訳（メタデータ） (2026-04-02T21:56:41Z)
• Secure Code Generation via Online Reinforcement Learning with Vulnerability Reward Model [60.60587869092729]
  大規模言語モデル(LLM)は、ソフトウェア開発でますます使われているが、安全でないコードを生成する傾向は、現実世界のデプロイメントにとって大きな障壁である。 機能保存型セキュアコード生成のためのオンライン強化学習フレームワークSecCoderXを提案する。
  論文  参考訳（メタデータ） (2026-02-07T07:42:07Z)
• Sponge Tool Attack: Stealthy Denial-of-Efficiency against Tool-Augmented Agentic Reasoning [58.432996881401415]
  最近の作業では、エージェント推論を可能にするために、外部ツールで大きな言語モデル(LLM)を拡張している。 本稿では,入力プロンプトを書き換えることのみでエージェント推論を妨害するスポンジツールアタック(STA)を提案する。 STAは、意味的忠実度の高い原文からの良心的な即興的な書き直しを生成する。
  論文  参考訳（メタデータ） (2026-01-24T19:36:51Z)
• LLMs in Code Vulnerability Analysis: A Proof of Concept [0.3441021278275805]
  従来のソフトウェアセキュリティ分析手法は、現代人の規模や複雑さに合わせたペースを維持するのに苦労している。 本稿では,重要なソフトウェアセキュリティタスクを自動化するために,コード固有および汎用大規模言語モデルの導入について検討する。
  論文  参考訳（メタデータ） (2026-01-13T16:16:11Z)
• Vul-R2: A Reasoning LLM for Automated Vulnerability Repair [31.00029150695804]
  ソフトウェア脆弱性の指数的な増加により、自動脆弱性修復(AVR)ソリューションが緊急に必要になった。 最近の研究はシーケンス生成問題として定式化されており、この問題に対処するために大規模言語モデル(LLM)を活用している。 これらのアプローチは最先端のパフォーマンスを示しているが、以下の課題に直面している。
  論文  参考訳（メタデータ） (2025-10-07T00:43:13Z)
• Secure Tug-of-War (SecTOW): Iterative Defense-Attack Training with Reinforcement Learning for Multimodal Model Security [63.41350337821108]
  マルチモーダル大規模言語モデル(MLLM)のセキュリティを高めるために,Secure Tug-of-War(SecTOW)を提案する。 SecTOWは2つのモジュールで構成される:ディフェンダーと補助攻撃者。どちらも強化学習(GRPO)を使用して反復的に訓練される。 SecTOWは、一般的な性能を維持しながら、セキュリティを大幅に改善することを示す。
  論文  参考訳（メタデータ） (2025-07-29T17:39:48Z)
• Code Change Intention, Development Artifact and History Vulnerability: Putting Them Together for Vulnerability Fix Detection by LLM [13.278153690972243]
  VulFixMinerとCoLeFunDaは、開発アーティファクトから必須のコンテキストを無視して、コードの変更のみに焦点を当てている。 LLM4VFD(Large Language Models (LLMs)) とChain-of-Thought推論とIn-Context Learningを併用した新しいフレームワークを提案する。
  論文  参考訳（メタデータ） (2025-01-24T23:40:03Z)
• Evaluating Pre-Trained Models for Multi-Language Vulnerability Patching [3.220818227251765]
  本稿では,事前学習型言語モデルであるCodeBERTとCodeT5の脆弱性パッチ自動適用の可能性について検討する。 これらのモデルの精度、計算効率、脆弱性のあるコードパッチの長さがパフォーマンスに与える影響について評価する。
  論文  参考訳（メタデータ） (2025-01-13T13:51:05Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。