論文の概要: On Fixing Insecure AI-Generated Code through Model Fine-Tuning and Prompting Strategies
- arxiv url: http://arxiv.org/abs/2605.05867v1
- Date: Thu, 07 May 2026 08:34:00 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-08 22:27:11.634155
- Title: On Fixing Insecure AI-Generated Code through Model Fine-Tuning and Prompting Strategies
- Title(参考訳): モデルファインチューニングとプロンプティング戦略による安全でないAI生成コードの修正について
- Authors: Ali Soltanian Fard Jahromi, Amjed Tahir, Peng Liang, Foutse Khomh,
- Abstract要約: AI生成コードのセキュリティは、広く採用される上で大きな障害である。
これまでの作業では、AI生成コードのセキュリティ問題を緩和するためのさまざまなアプローチが検討されてきた。
本稿では,CWE(Common Weaknession)リストに対するモデル生成コードのハード化戦略を体系的に検討する。
- 参考スコア(独自算出の注目度): 7.049990576210597
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: The security of AI-generated code remains a major obstacle to its widespread adoption. Although code generation models achieve strong performance on functional benchmarks, their outputs frequently contain bugs and security weaknesses that undermine their trustworthiness. Prior work has explored a range of approaches to mitigate security issues in AI-generated code, e.g., using static analysis-guided generation and prompt engineering. However, their effectiveness varies widely across models and settings. This paper presents a systematic investigation of strategies for hardening model-generated code against a list of Common Weakness Enumeration (CWE). We assess the extent to which these strategies improve security across models and programming languages, using fine-tuning and prompting approaches for model output refinement. Beyond the prevalence of security weaknesses, we analyse the severity of identified CWEs, their co-occurrence, and the unintended consequences of remediation (i.e., whether fixing certain weaknesses introduces new weaknesses elsewhere in the same code). Our results show that security improvements are highly strategy- and model-dependent. Although some approaches reduce specific classes of weaknesses, they often introduce new weaknesses as side effects of the fixes. Moreover, no strategy consistently eliminates weaknesses across all models and scenarios, highlighting the absence of a universally effective "bulletproof" solution for secure AI-generated code.
- Abstract(参考訳): AI生成コードのセキュリティは、広く採用される上で大きな障害である。
コード生成モデルは、機能ベンチマークで強力なパフォーマンスを達成するが、そのアウトプットには、その信頼性を損なうバグやセキュリティの弱点が頻繁に含まれている。
それまでの作業では、静的解析誘導生成とプロンプトエンジニアリングを使用して、AI生成コードのセキュリティ問題を緩和するための、さまざまなアプローチが検討されてきた。
しかし、それらの効果はモデルや設定によって大きく異なる。
本稿では,CWE(Common Weakness Enumeration)のリストに対して,モデル生成コードのハード化戦略を体系的に検討する。
これらの戦略がモデルやプログラミング言語のセキュリティをいかに改善するかを、微調整とモデル出力改善の促進手法を用いて評価する。
セキュリティの弱点の頻度を超えて、特定されたCWEの重大さ、それらの共起、そして意図しない修復の結果(すなわち、特定の弱点の修正が同じコード内の他の場所で新たな弱点をもたらすかどうか)を分析します。
以上の結果から,セキュリティ改善は戦略とモデルに依存していることがわかった。
特定の弱点のクラスを減らすアプローチもあるが、修正の副作用として新しい弱点を導入することが多い。
さらに、すべてのモデルやシナリオの弱点を一貫して排除する戦略はなく、セキュアなAI生成コードに対して、普遍的に有効な"防弾"ソリューションが欠如していることを強調している。
関連論文リスト
- Uncovering Linguistic Fragility in Vision-Language-Action Models via Diversity-Aware Red Teaming [64.48633529149579]
本稿では,VLA(Vision-Language-Action)モデルの言語的変異に対する脆弱性を明らかにするための新しいフレームワークを提案する。
本手法は, ストレス試験用VLAエージェントへのスケーラブルなアプローチを示すため, 平均作業成功率を93.33%から5.85%に下げる。
論文 参考訳(メタデータ) (2026-04-07T08:43:36Z) - Secure Code Generation via Online Reinforcement Learning with Vulnerability Reward Model [60.60587869092729]
大規模言語モデル(LLM)は、ソフトウェア開発でますます使われているが、安全でないコードを生成する傾向は、現実世界のデプロイメントにとって大きな障壁である。
機能保存型セキュアコード生成のためのオンライン強化学習フレームワークSecCoderXを提案する。
論文 参考訳(メタデータ) (2026-02-07T07:42:07Z) - LLMs in Code Vulnerability Analysis: A Proof of Concept [0.3441021278275805]
従来のソフトウェアセキュリティ分析手法は、現代人の規模や複雑さに合わせたペースを維持するのに苦労している。
本稿では,重要なソフトウェアセキュリティタスクを自動化するために,コード固有および汎用大規模言語モデルの導入について検討する。
論文 参考訳(メタデータ) (2026-01-13T16:16:11Z) - Is Your Prompt Poisoning Code? Defect Induction Rates and Security Mitigation Strategies [4.435429537888066]
大規模言語モデル(LLM)は自動コード生成には不可欠だが、出力の品質とセキュリティは依然として重要な問題である。
本稿では,目標の明確性,情報の完全性,論理的整合性という3つの重要な側面を含む,迅速な品質評価フレームワークを提案する。
ユーザプロンプトの品質向上は,AI生成コードのセキュリティを強化する上で,重要かつ効果的な戦略となっている。
論文 参考訳(メタデータ) (2025-10-27T02:59:17Z) - Code Vulnerability Detection Across Different Programming Languages with AI Models [0.0]
本稿では,CodeBERTやCodeLlamaのようなトランスフォーマーモデルの実装について述べる。
これは、脆弱で安全なコードフラグメント上でモデルを動的に微調整することで、オフザシェルフモデルがモデル内の予測能力をいかに生み出すかを示している。
実験によると、よく訓練されたCodeBERTは97%以上の精度で既存の静的アナライザに匹敵するか、それ以上に優れている。
論文 参考訳(メタデータ) (2025-08-14T05:41:58Z) - Secure Tug-of-War (SecTOW): Iterative Defense-Attack Training with Reinforcement Learning for Multimodal Model Security [63.41350337821108]
マルチモーダル大規模言語モデル(MLLM)のセキュリティを高めるために,Secure Tug-of-War(SecTOW)を提案する。
SecTOWは2つのモジュールで構成される:ディフェンダーと補助攻撃者。どちらも強化学習(GRPO)を使用して反復的に訓練される。
SecTOWは、一般的な性能を維持しながら、セキュリティを大幅に改善することを示す。
論文 参考訳(メタデータ) (2025-07-29T17:39:48Z) - White-Basilisk: A Hybrid Model for Code Vulnerability Detection [45.03594130075282]
我々は、優れた性能を示す脆弱性検出の新しいアプローチであるWhite-Basiliskを紹介する。
White-Basiliskは、パラメータ数2億の脆弱性検出タスクで結果を得る。
この研究は、コードセキュリティにおける新しいベンチマークを確立し、コンパクトで効率的に設計されたモデルが、特定のタスクにおいてより大きなベンチマークよりも優れているという実証的な証拠を提供する。
論文 参考訳(メタデータ) (2025-07-11T12:39:25Z) - Guiding AI to Fix Its Own Flaws: An Empirical Study on LLM-Driven Secure Code Generation [16.29310628754089]
大規模言語モデル(LLM)は、コードの自動生成のための強力なツールになっている。
LLMは、しばしば重要なセキュリティプラクティスを見落とし、安全でないコードを生成する。
本稿では、安全性の低いコードを生成するための固有の傾向、自己生成する脆弱性ヒントによってガイドされた場合にセキュアなコードを生成する能力、フィードバックレベルが異なる場合に脆弱性を修復する効果について検討する。
論文 参考訳(メタデータ) (2025-06-28T23:24:33Z) - Can An Old Fashioned Feature Extraction and A Light-weight Model Improve
Vulnerability Type Identification Performance? [6.423483122892239]
脆弱性型識別(VTI)の問題点について検討する。
我々は、大規模な脆弱性セットに基づいて、VTIのためのよく知られた、先進的な事前訓練モデルの性能を評価する。
ベースラインアプローチの予測を洗練させるために,軽量な独立コンポーネントを導入する。
論文 参考訳(メタデータ) (2023-06-26T14:28:51Z) - CodeLMSec Benchmark: Systematically Evaluating and Finding Security
Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。
これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。
この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
論文 参考訳(メタデータ) (2023-02-08T11:54:07Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。