論文の概要: SCARA: A Semantics-Constrained Autonomous Remediation Agent for Opaque Industrial Software Vulnerabilities
- arxiv url: http://arxiv.org/abs/2605.19668v1
- Date: Tue, 19 May 2026 11:00:34 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-20 15:03:09.291312
- Title: SCARA: A Semantics-Constrained Autonomous Remediation Agent for Opaque Industrial Software Vulnerabilities
- Title(参考訳): SCARA: 不透明な産業用ソフトウェア脆弱性に対するセマンティック制約付き自律修復エージェント
- Authors: Bowei Ning, Xuejun Zong, Lian Lian, Kan He, Guogang Wang, Yifei Sun, Jinyang Liu,
- Abstract要約: 本稿では,産業ソフトウェアのためのセマンティックス制約型自律修復エージェントであるSCARAについて述べる。
上流のバイナリ脆弱性候補と条件付き検証された修正を4段階のパイプラインで接続する。
100%の精度で偽陽性はなく、20.0%の患者を手術不能と回答し、標的再実行後に88.9%の修復に成功した。
- 参考スコア(独自算出の注目度): 4.392310033538835
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: Critical-infrastructure operators are increasingly expected to assess and remediate vulnerabilities in deployed industrial software. However, much of this software exists as opaque industrial software (OIS), including stripped firmware, proprietary protocol handlers, and compiled control logic without source code, symbols, build environments, or hardware interfaces. While binary analysis can identify vulnerability candidates, existing automated repair systems largely rely on source code, compilable artifacts, sanitizer feedback, or instrumentable builds, leaving a gap between binary-level discovery and validated remediation. This paper presents SCARA, a Semantics-Constrained Autonomous Remediation Agent for OIS. SCARA operates under a source-unavailable defender model and connects upstream binary vulnerability candidates to conditionally validated remedies through a four-stage pipeline. Operational-state-aware verification (OSVA) filters infeasible candidates using a nine-component industrial state model; remediation synthesis (RSA) selects the strongest available remedy across protocol mitigation, binary hardening, and SSCKG-constrained source patches; and correctness validation (CVA) provides conditional correctness evidence via behavioral-coverage preservation, independent replay, and typed rejection feedback. On OIS-RemedBench, a 15-case benchmark spanning firmware, protocol handlers, and ICS/PLC artifacts, SCARA achieves observed 100% precision with no false positives, refutes 20.0% of cases as operationally infeasible, and reaches 88.9% remediation success after targeted reruns. To our knowledge, SCARA is the first end-to-end framework that connects binary vulnerability candidates to conditionally validated remediation for opaque industrial software.
- Abstract(参考訳): クリティカル・インフラクチャー・オペレーターは、デプロイされた産業用ソフトウェアにおける脆弱性を評価し、改善することがますます期待されている。
しかし、このソフトウェアの多くは、削除されたファームウェア、プロプライエタリなプロトコルハンドラ、ソースコード、シンボル、ビルド環境、ハードウェアインターフェースのないコンパイルされた制御ロジックを含む不透明な産業用ソフトウェア(OIS)として存在している。
バイナリ分析は脆弱性候補を特定することができるが、既存の自動修復システムはソースコード、コンパイル可能なアーティファクト、サニタイザフィードバック、あるいはインストゥルメンタブルビルドに大きく依存しており、バイナリレベルの発見と検証された修復のギャップを残している。
本稿では,OISのためのセマンティックス制約型自律修復エージェントであるSCARAについて述べる。
SCARAはソース未使用のディフェンダーモデルの下で動作し、上流のバイナリ脆弱性候補を4段階のパイプラインを通じて条件付き検証された修正に接続する。
オペレーショナル・ステート・アウェア・検証(OSVA)は、9成分産業状態モデルを用いて実現不可能な候補をフィルタリングし、修復合成(RSA)はプロトコル緩和、バイナリ・ハードニング、SSCKG制約ソースパッチにまたがる最強の緩和策を選択し、正当性検証(CVA)は行動保護、独立リプレイ、型付き拒否フィードバックを通じて条件付き正当性証拠を提供する。
ファームウェア、プロトコルハンドラ、ICS/PLCアーティファクトにまたがる15ケースのベンチマークであるOIS-RemedBenchでは、SCARAは100%の正確さを偽陽性なしで達成し、20.0%のケースを運用不能と回答し、ターゲットの再実行後に88.9%の修正成功に達した。
私たちの知る限り、SCARAは、バイナリ脆弱性候補と条件付き検証された不透明な産業用ソフトウェアを接続する最初のエンドツーエンドフレームワークです。
関連論文リスト
- SecureForge: Finding and Preventing Vulnerabilities in LLM-Generated Code via Prompt Optimization [61.91729298584227]
SecureForgeは、フロンティアモデルのセキュリティリスクを監査し、監査インフォームされたセキュアなシステムプロンプトを生成する自動化パイプラインである。
SecureForgeは、まず静的に検出可能な脆弱性を生成する良性プロンプトを特定し、その後、さまざまなシナリオの大規模な合成プロンプトコーパスに増幅する。
フロンティアモデルでは、SecureForgeは、ユニットテストの成功と出力セキュリティの両方において統計的に有意な改善をもたらし、出力脆弱性は最大48%削減された。
論文 参考訳(メタデータ) (2026-05-08T18:40:47Z) - Statistical-Based Metric Threshold Setting Method for Software Fault Prediction in Firmware Projects: An Industrial Experience [4.339839287869652]
マシンラーニングベースのフォールト予測モデルは高い精度を示しているが、解釈可能性の欠如により、産業環境での採用が制限されている。
本稿では,産業環境における故障検出への統合に適したコンテキスト固有のソフトウェアメトリックしきい値を定義するための構造化プロセスを提案する。
提案手法は,一組のプロジェクトからしきい値を取得し,個別に開発したファームウェアに適用することにより,プロジェクト間の障害予測を支援する。
論文 参考訳(メタデータ) (2026-02-06T16:19:36Z) - RealSec-bench: A Benchmark for Evaluating Secure Code Generation in Real-World Repositories [58.32028251925354]
LLM(Large Language Models)は、コード生成において顕著な能力を示しているが、セキュアなコードを生成する能力は依然として重要で、未調査の領域である。
我々はRealSec-benchを紹介します。RealSec-benchは、現実世界の高リスクなJavaリポジトリから慎重に構築されたセキュアなコード生成のための新しいベンチマークです。
論文 参考訳(メタデータ) (2026-01-30T08:29:01Z) - ReasAlign: Reasoning Enhanced Safety Alignment against Prompt Injection Attack [52.17935054046577]
本稿では、間接的インジェクション攻撃に対する安全性アライメントを改善するためのモデルレベルのソリューションであるReasAlignを提案する。
ReasAlignには、ユーザクエリの分析、競合する命令の検出、ユーザの意図したタスクの継続性を維持するための構造化された推論ステップが組み込まれている。
論文 参考訳(メタデータ) (2026-01-15T08:23:38Z) - Agentic AI for Autonomous Defense in Software Supply Chain Security: Beyond Provenance to Vulnerability Mitigation [0.0]
本論文は,自律型ソフトウェアサプライチェーンセキュリティに基づくエージェント人工知能(AI)の例を含む。
大規模言語モデル(LLM)ベースの推論、強化学習(RL)、マルチエージェント調整を組み合わせている。
その結果、エージェントAIは、自己防衛的で積極的なソフトウェアサプライチェーンへの移行を促進することが示されている。
論文 参考訳(メタデータ) (2025-12-29T14:06:09Z) - BASICS: Binary Analysis and Stack Integrity Checker System for Buffer Overflow Mitigation [0.0]
サイバー物理システムは私たちの日常生活において重要な役割を担い、電力や水などの重要なサービスを提供してきた。
従来の脆弱性発見技術は、Cプログラムのバイナリコードに直接適用する場合、スケーラビリティと精度に苦労する。
この研究は、モデルチェックとココリック実行技術を活用することによって、これらの制限を克服するために設計された新しいアプローチを導入している。
論文 参考訳(メタデータ) (2025-11-24T20:11:41Z) - VulAgent: Hypothesis-Validation based Multi-Agent Vulnerability Detection [55.957275374847484]
VulAgentは仮説検証に基づくマルチエージェント脆弱性検出フレームワークである。
セマンティクスに敏感なマルチビュー検出パイプラインを実装しており、それぞれが特定の分析の観点から一致している。
平均して、VulAgentは全体的な精度を6.6%改善し、脆弱性のある固定されたコードペアの正確な識別率を最大450%向上させ、偽陽性率を約36%削減する。
論文 参考訳(メタデータ) (2025-09-15T02:25:38Z) - VulnRepairEval: An Exploit-Based Evaluation Framework for Assessing Large Language Model Vulnerability Repair Capabilities [41.85494398578654]
VulnRepairEvalは、関数型Proof-of-Conceptエクスプロイトに固定された評価フレームワークである。
我々のフレームワークは、再現可能な微分評価を可能にする包括的でコンテナ化された評価パイプラインを提供する。
論文 参考訳(メタデータ) (2025-09-03T14:06:10Z) - Training Language Models to Generate Quality Code with Program Analysis Feedback [66.0854002147103]
大規模言語モデル(LLM)によるコード生成は、ますます本番環境で採用されているが、コード品質の保証には失敗している。
実運用品質のコードを生成するためにLLMにインセンティブを与える強化学習フレームワークであるREALを提案する。
論文 参考訳(メタデータ) (2025-05-28T17:57:47Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - Detecting Security Fixes in Open-Source Repositories using Static Code
Analyzers [8.716427214870459]
機械学習(ML)アプリケーションにおけるコミットを表現する機能として,既製の静的コードアナライザの出力がどの程度使用されるかを検討する。
埋め込みの構築やMLモデルをトレーニングして、脆弱性修正を含むソースコードコミットを自動的に識別する方法について検討する。
当社のメソッドとcommit2vecの組み合わせは,脆弱性を修正するコミットの自動識別において,最先端技術よりも明確な改善であることがわかった。
論文 参考訳(メタデータ) (2021-05-07T15:57:17Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。