論文の概要: VulTriage: Triple-Path Context Augmentation for LLM-Based Vulnerability Detection
- arxiv url: http://arxiv.org/abs/2605.09461v2
- Date: Tue, 12 May 2026 07:46:16 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-13 18:21:07.033231
- Title: VulTriage: Triple-Path Context Augmentation for LLM-Based Vulnerability Detection
- Title(参考訳): VulTriage: LLMに基づく脆弱性検出のためのトリプルパスコンテキスト拡張
- Authors: Wenxin Tang, Xiang Zhang, Junliang Liu, Jingyu Xiao, Xi Xiao, Jinlong Yang, Yuehe Ma, Zhenyu Liu, Zhengheng Li, Zicheng Wang, Wang Luo, Qing Li, Lei Wang, Peng Xiangli,
- Abstract要約: VulTriageは脆弱性検出のための3重パスコンテキスト拡張フレームワークである。
VulTriageは、主要なペアワイドおよび分類指標上で最先端のパフォーマンスを達成することを示す。
- 参考スコア(独自算出の注目度): 29.553970297594887
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Automated vulnerability detection is a fundamental task in software security, yet existing learning-based methods still struggle to capture the structural dependencies, domain-specific vulnerability knowledge, and complex program semantics required for accurate detection. Recent Large Language Models (LLMs) have shown strong code understanding ability, but directly prompting them with raw source code often leads to missed vulnerabilities or false alarms, especially when vulnerable and benign functions differ only in subtle semantic details. To address this, we propose VulTriage, a triple-path context augmentation framework for LLM-based vulnerability detection. VulTriage enhances the LLM input through three complementary paths: a Control Path that extracts and verbalizes AST, CFG, and DFG information to expose control and data dependencies; a Knowledge Path that retrieves relevant CWE-derived vulnerability patterns and examples through hybrid dense--sparse retrieval; and a Semantic Path that summarizes the functional behavior of the code before the final judgment. These contexts are integrated into a unified instruction to guide the LLM toward more reliable vulnerability reasoning. Experiments on the PrimeVul pair test set show that VulTriage achieves state-of-the-art performance, outperforming existing deep learning and LLM-based baselines on key pair-wise and classification metrics. Further ablation studies verify the effectiveness of each path, and additional experiments on the Kotlin dataset demonstrate the generalization ability of VulTriage under low-resource and class-imbalanced settings. Our code is available at https://github.com/vinsontang1/VulTriage
- Abstract(参考訳): 自動脆弱性検出は、ソフトウェアセキュリティの基本的なタスクであるが、既存の学習ベースの手法は、構造的依存関係、ドメイン固有の脆弱性知識、そして正確な検出に必要な複雑なプログラムセマンティクスをキャプチャするのに依然として苦労している。
最近のLarge Language Models (LLMs) は、強力なコード理解能力を示しているが、生のソースコードを直接プロンプトすることで、脆弱性や誤報を見逃してしまうことが多い。
この問題を解決するために,LLMに基づく脆弱性検出のための3重パスコンテキスト拡張フレームワークであるVulTriageを提案する。
VulTriageは、AST、CFG、DFG情報を抽出して、制御とデータ依存関係を公開するための制御パス、関連するCWE由来の脆弱性パターンやサンプルをハイブリッドな高密度スパース検索を通じて検索するナレッジパス、最終的な判断の前にコードの機能的振る舞いを要約するセマンティックパスの3つの補完パスを通じてLLM入力を強化する。
これらのコンテキストは、LSMをより信頼性の高い脆弱性推論に導く統一的な命令に統合される。
PrimeVulペアテストセットの実験は、VulTriageが最先端のパフォーマンスを実現し、既存のディープラーニングとLLMベースのベースラインをキーペアワイドおよび分類メトリクスで上回ることを示している。
さらにアブレーション調査では,各パスの有効性を検証するとともに,低リソースおよびクラス不均衡設定下でのVulTriageの一般化能力をKotlinデータセットに追加実験で実証した。
私たちのコードはhttps://github.com/vinsontang1/VulTriageで利用可能です。
関連論文リスト
- The Unlearning Mirage: A Dynamic Framework for Evaluating LLM Unlearning [54.67958855362658]
複雑な構造化クエリを用いたアンラーニングテストを強調する動的フレームワークを提案する。
提案手法はまず,対象モデル(事前学習)から知識を抽出し,単純なクエリからマルチホップチェーンまで,対象プローブを構築する。
本フレームワークは,テストセットを手作業で構築することなく,非学習手法の実用的でスケーラブルな評価を可能にする。
論文 参考訳(メタデータ) (2026-03-11T19:51:33Z) - A Prompt-Based Framework for Loop Vulnerability Detection Using Local LLMs [0.0]
本研究では,Python 3.7以上のコード中のループ脆弱性を検出するためのプロンプトベースのフレームワークを提案する。
このフレームワークは、制御とロジックのエラー、ループ内のセキュリティリスク、リソース管理の非効率といった、ループ関連の問題の3つのカテゴリをターゲットにしている。
設計されたプロンプトベースのフレームワークには、言語固有の認識、コード認識の接地、バージョン感度、幻覚予防といった重要な保護機能が含まれていた。
論文 参考訳(メタデータ) (2026-01-21T04:53:38Z) - Multi-Agent Taint Specification Extraction for Vulnerability Detection [49.27772068704498]
コンテナ分析を使用した静的アプリケーションセキュリティテスト(SAST)ツールは、高品質な脆弱性検出結果を提供するものとして広く見なされている。
本稿では,Large Language Models (LLM) のセマンティック理解と従来の静的プログラム解析を戦略的に組み合わせたマルチエージェントシステムであるSemTaintを提案する。
私たちは、SemTaintを最先端のSASTツールであるCodeQLと統合し、これまでCodeQLで検出できなかった162の脆弱性の106を検出して、その効果を実証しています。
論文 参考訳(メタデータ) (2026-01-15T21:31:51Z) - The Trojan Knowledge: Bypassing Commercial LLM Guardrails via Harmless Prompt Weaving and Adaptive Tree Search [58.8834056209347]
大規模言語モデル(LLM)は、有害な出力を誘導するために安全ガードレールをバイパスするジェイルブレイク攻撃に弱いままである。
CKA-Agent(Correlated Knowledge Attack Agent)は、ターゲットモデルの知識基盤の適応的木構造探索としてジェイルブレイクを再構成する動的フレームワークである。
論文 参考訳(メタデータ) (2025-12-01T07:05:23Z) - Ensembling Large Language Models for Code Vulnerability Detection: An Empirical Evaluation [69.8237598448941]
本研究では,ソースコードの脆弱性検出において,Large Language Models(LLM)の性能を高めるためのアンサンブル学習の可能性を検討する。
脆弱性検出に適したスタック機能であるDynamic Gated Stacking (DGS)を提案する。
論文 参考訳(メタデータ) (2025-09-16T03:48:22Z) - Towards Explainable Vulnerability Detection with Large Language Models [14.243344783348398]
ソフトウェア脆弱性は、ソフトウェアシステムのセキュリティと整合性に重大なリスクをもたらす。
大規模言語モデル(LLMs)の出現は、その高度な生成能力による変換ポテンシャルを導入している。
本稿では,脆弱性検出と説明という2つのタスクにLLMを専門化する自動フレームワークであるLLMVulExpを提案する。
論文 参考訳(メタデータ) (2024-06-14T04:01:25Z) - Security Vulnerability Detection with Multitask Self-Instructed Fine-Tuning of Large Language Models [8.167614500821223]
脆弱性検出のためのMSIVD, マルチタスクによる自己指示型微調整を, チェーン・オブ・シント・プロンプトとLDMによる自己指示にインスパイアした。
実験の結果,MSIVDは高い性能を示し,LineVul(LLMベースの脆弱性検出ベースライン)はBigVulデータセットでは0.92点,PreciseBugsデータセットでは0.48点であった。
論文 参考訳(メタデータ) (2024-06-09T19:18:05Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。