Fugu-MT 論文翻訳(概要): Detecting Privilege Escalation in Polyglot Microservices via Agentic Program Analysis

論文の概要: Detecting Privilege Escalation in Polyglot Microservices via Agentic Program Analysis

arxiv url: http://arxiv.org/abs/2605.15569v1
Date: Fri, 15 May 2026 03:27:02 GMT
ステータス: 翻訳完了
システム内更新日: 2026-05-18 17:44:16.297488
Title: Detecting Privilege Escalation in Polyglot Microservices via Agentic Program Analysis
Title（参考訳）: エージェントプログラム分析によるポリグロットマイクロサービスのプリビレージエスカレーションの検出
Authors: Penghui Li, Hong Yau Chong, Yinzhi Cao, Junfeng Yang,
Abstract要約: 大規模言語モデル(LLM)と古典的プログラム解析を組み合わせたエージェント型プログラム解析フレームワークであるNeoを提案する。 7つのプログラミング言語と620万行のコードにまたがる、25のオープンソースマイクロサービスアプリケーション上で、Neoを評価します。 Neoは24のゼロデイ特権エスカレーション脆弱性を発見し、81.0%の精度と85.0%のリコールを達成した。
参考スコア（独自算出の注目度）: 31.42091263566326
License: http://creativecommons.org/licenses/by/4.0/
Abstract: Microservices are widely adopted in modern cloud systems due to their scalability and fault tolerance. However, microservice architectures introduce significant complexity in privilege and permission control, creating risks of privilege escalation where attackers can gain unauthorized access to resources or operations. Detecting such vulnerabilities is challenging due to complex cross-service interactions, polyglot codebases, and diverse privileged operations and permission checks. We present Neo, an agentic program analysis framework that combines large language models (LLMs) with classic program analysis to address these challenges. Neo leverages an LLM-based agent that dynamically generates analysis plans, adapts code search strategies, and validates semantics. We develop code search primitives that enable Neo to perform scalable and flexible code exploration across services and languages. We evaluated Neo on 25 open-source microservice applications spanning 7 programming languages and 6.2 million lines of code. Neo uncovered 24 zero-day privilege escalation vulnerabilities and achieved 81.0% precision and 85.0% recall on a ground-truth dataset. Compared to existing program analysis and agentic solutions, Neo demonstrated significant improvements in both detection accuracy and scalability. We further showcased Neo's extensibility by applying it to other application domains and vulnerability types, uncovering 18 additional zero-day vulnerabilities.
Abstract（参考訳）: マイクロサービスは、スケーラビリティとフォールトトレランスのために、現代のクラウドシステムで広く採用されています。しかし、マイクロサービスアーキテクチャは特権と権限制御の大幅な複雑さを導入し、攻撃者がリソースや操作に無許可でアクセスできる特権エスカレーションのリスクを発生させる。このような脆弱性の検出は、複雑なサービス間インタラクション、多言語コードベース、さまざまな特権操作とパーミッションチェックのために難しい。この課題に対処するために,大規模言語モデル(LLM)と古典的プログラム解析を組み合わせたエージェント型プログラム解析フレームワークNeoを提案する。 NeoはLLMベースのエージェントを活用し、解析計画を動的に生成し、コード検索戦略を適用し、セマンティクスを検証する。私たちはNeoがサービスや言語をまたいでスケーラブルで柔軟なコード探索ができるようなコード検索プリミティブを開発しています。 7つのプログラミング言語と620万行のコードにまたがる、25のオープンソースマイクロサービスアプリケーション上で、Neoを評価しました。ネオは24のゼロデイ特権エスカレーション脆弱性を発見し、81.0%の精度と85.0%のリコールを達成した。既存のプログラム分析やエージェントソリューションと比較して、Neoは検出精度とスケーラビリティの両方で大幅に改善した。さらに、他のアプリケーションドメインや脆弱性タイプに適用することで、Neoの拡張性を示し、18の新たなゼロデイ脆弱性を明らかにしました。

関連論文リスト

ExploitGym: Can AI Agents Turn Security Vulnerabilities into Real Attacks? [92.21756459993695]
低レベルのプログラム推論を必要とするため、爆発は難しい作業です。その重要性と診断価値にもかかわらず、搾取は未評価のままである。 ExploitGymは、AIエージェントのエクスプロイト能力に関する大規模で多様な、現実的なベンチマークである。
論文参考訳（メタデータ） (2026-05-11T18:00:14Z)
SecureForge: Finding and Preventing Vulnerabilities in LLM-Generated Code via Prompt Optimization [61.91729298584227]
SecureForgeは、フロンティアモデルのセキュリティリスクを監査し、監査インフォームされたセキュアなシステムプロンプトを生成する自動化パイプラインである。 SecureForgeは、まず静的に検出可能な脆弱性を生成する良性プロンプトを特定し、その後、さまざまなシナリオの大規模な合成プロンプトコーパスに増幅する。フロンティアモデルでは、SecureForgeは、ユニットテストの成功と出力セキュリティの両方において統計的に有意な改善をもたらし、出力脆弱性は最大48%削減された。
論文参考訳（メタデータ） (2026-05-08T18:40:47Z)
RealSec-bench: A Benchmark for Evaluating Secure Code Generation in Real-World Repositories [58.32028251925354]
LLM(Large Language Models)は、コード生成において顕著な能力を示しているが、セキュアなコードを生成する能力は依然として重要で、未調査の領域である。我々はRealSec-benchを紹介します。RealSec-benchは、現実世界の高リスクなJavaリポジトリから慎重に構築されたセキュアなコード生成のための新しいベンチマークです。
論文参考訳（メタデータ） (2026-01-30T08:29:01Z)
CyberGym: Evaluating AI Agents' Real-World Cybersecurity Capabilities at Scale [45.97598662617568]
我々は188のソフトウェアプロジェクトにわたる1,507の実際の脆弱性を特徴とする大規模ベンチマークであるCyberGymを紹介した。我々はCyberGymが35のゼロデイ脆弱性と17の歴史的不完全なパッチを発見できることを示した。これらの結果は、CyberGymは、サイバーセキュリティにおけるAIの進歩を測定するための堅牢なベンチマークであるだけでなく、直接的な現実世界のセキュリティ効果を生み出すためのプラットフォームでもあることを強調している。
論文参考訳（メタデータ） (2025-06-03T07:35:14Z)
AgentVigil: Generic Black-Box Red-teaming for Indirect Prompt Injection against LLM Agents [54.29555239363013]
本稿では,間接的なインジェクション脆弱性を自動的に検出し,悪用するための汎用的なブラックボックスファジリングフレームワークであるAgentVigilを提案する。我々はAgentVigilをAgentDojoとVWA-advの2つの公開ベンチマークで評価し、o3-miniとGPT-4oに基づくエージェントに対して71%と70%の成功率を達成した。攻撃を現実世界の環境に適用し、悪質なサイトを含む任意のURLに誘導するエージェントをうまく誘導する。
論文参考訳（メタデータ） (2025-05-09T07:40:17Z)
Automated Static Vulnerability Detection via a Holistic Neuro-symbolic Approach [17.872674648772616]
本稿では,LLM(Large Language Model)と古典的脆弱性チェッカーの相補的長所を組み合わせた,新しいニューロシンボリック・フレームワークであるMoCQを紹介する。 MoCQは、専門家が開発したクエリと同等の精度とリコールを実現している。 MoCQはまた、専門家が見逃した46の新しい脆弱性パターンを明らかにした。
論文参考訳（メタデータ） (2025-04-22T17:33:53Z)
To Err is Machine: Vulnerability Detection Challenges LLM Reasoning [8.602355712876815]
脆弱性検出という,困難なコード推論タスクを提示する。最新のSOTA(State-of-the-art)モデルでは,脆弱性検出評価では54.5%のバランスド精度しか報告されていない。脆弱性検出を克服するためには、新しいモデル、新しいトレーニング方法、あるいはもっと実行固有の事前トレーニングデータが必要になるかもしれない。
論文参考訳（メタデータ） (2024-03-25T21:47:36Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。