論文の概要: Compute-Budgeted Exploitability Evidence Graphs for Prospective Vulnerability Triage
- arxiv url: http://arxiv.org/abs/2606.19076v1
- Date: Wed, 17 Jun 2026 13:47:34 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-18 17:16:51.185601
- Title: Compute-Budgeted Exploitability Evidence Graphs for Prospective Vulnerability Triage
- Title(参考訳): 予測脆弱性トリアージのためのCompute-Budgeted Exploitability Evidence Graphs
- Authors: Faruk Alpay, Taylan Alpay,
- Abstract要約: 計算予算による脆弱性トリアージについて検討し、各CVEは固定決定時間で見える公開証拠からのみ得点される。
偽のランダムスプリットとフィルターされていない証拠は、明らかな予見的リコールを8.5倍、EPSS-highリコールを5.0倍に膨らませる。
- 参考スコア(独自算出の注目度): 0.2864713389096699
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Defenders cannot patch every newly disclosed vulnerability at once, so exploitability prediction must be evaluated prospectively rather than retrospectively. We study compute-budgeted vulnerability triage in which each CVE is scored only from public evidence visible by a fixed decision time. Advisories, exploit archives, fix commits, and hacker-community discourse are represented as a temporal evidence graph; a budgeted selector admits only a few evidence documents per CVE, and every score is paired with an auditable certificate listing the supporting signals, timestamps, source layers, and leakage flags. On 12012 prospective CVEs from public sources, budgeted evidence selection raises leakage-safe prospective recall@50 from 0.010 for a severity-only baseline to 0.026, while two evidence documents per CVE capture most of the value. A strong cross-encoder reranker lowers prospective recall to 0.016, showing that semantic relevance to a CVE is not the same as evidence of exploitation. Most importantly, a naive random split with unfiltered evidence inflates apparent prospective recall by 8.5x and EPSS-high recall by 5.0x. The main contribution is a leakage-safe evaluation protocol and reproducible evidence certificates for contestable vulnerability-prioritization claims.
- Abstract(参考訳): ディフェンダーは、新しく公開されたすべての脆弱性に一度にパッチを当てることができないため、エクスプロイラビリティの予測は、振り返りよりも前向きに評価する必要がある。
計算予算による脆弱性トリアージについて検討し、各CVEは固定決定時間で見える公開証拠からのみ得点される。
アドバイザリ、エクスプロイトアーカイブ、修正コミット、およびハッカーコミュニティの談話は、時間的エビデンスグラフとして表現され、予算付きセレクタは、CVEごとにいくつかのエビデンス文書しか認めず、すべてのスコアは、サポート信号、タイムスタンプ、ソース層、リークフラグをリストアップした監査可能な証明書とペアリングされる。
2012年に公表された12012年のCVEでは、予算付きエビデンスの選択により、リークの安全に関するリコール@50が0.010から0.026に引き上げられ、CVEごとに2件のエビデンス文書が価値の大部分を捉えている。
強いクロスエンコーダのリランカーは、予測リコールを0.016に下げ、CVEのセマンティックな関連性は、エクスプロイトの証拠と同じではないことを示す。
最も重要なことは、未濾過の証拠が膨らんだ単純なランダムな分裂は、見かけ上のリコールを8.5倍、EPSSのハイリコールを5.0倍に膨らませることである。
主な貢献は、漏洩安全評価プロトコルと、競合可能な脆弱性優先順位付けの請求に対する再現可能な証拠証明である。
関連論文リスト
- SEVRA-BENCH: Social Engineering of Vulnerabilities in Review Agents [21.409263140916327]
大規模言語モデル (LLM) レビュアーはプルリクエスト (PR) においてますます使われている。
これにより、静的な脆弱性検出やコード生成のベンチマークが対処しないという疑問が持ち上がる。
自動レビュアーがそのようなプルリクエストを承認する頻度を測定するベンチマークであるSEVRA-BENCHを紹介する。
論文 参考訳(メタデータ) (2026-06-11T16:35:56Z) - FIKA-Bench: From Fine-grained Recognition to Fine-Grained Knowledge Acquisition [54.31138496553705]
日常生活におけるきめ細かい認識は、しばしばクローズドブックの分類問題ではない。
既存のベンチマークは主に視覚的認識を評価しており、このアクティブな外部知識獲得能力は過小評価されている。
そこでは,システムが外部の証拠を探し,検証し,利用し,オープンエンドのきめ細かい認識質問に答えなければならない,きめ細かな知識獲得について検討する。
論文 参考訳(メタデータ) (2026-05-13T08:49:51Z) - Code-Centric Detection of Vulnerability-Fixing Commits: A Unified Benchmark and Empirical Study [4.512751676075442]
本稿では,統合フレームワークによる言語モデルに基づくVFC検出の包括的評価を行う。
コードの変更だけで、モデルが転送可能なセキュリティ関連コードを理解する証拠は見つからない。
グループ階層評価は、ランダムスプリットに比べて約17%のパフォーマンス低下を露呈する。
論文 参考訳(メタデータ) (2026-05-13T08:05:14Z) - AEGIS: From Clues to Verdicts -- Graph-Guided Deep Vulnerability Reasoning via Dialectics and Meta-Auditing [9.271196825503417]
大きな言語モデル(LLM)は、脆弱性検出にますます採用されているが、その推論は基本的には正しくない。
AEGISは、未解決の投機から、クローズドな事実ベース上の法医学的検証へ、検出をシフトする新しいマルチエージェントフレームワークである。
これは、主要なベースラインと比較して偽陽性率を最大54.40%削減し、1サンプルあたりの平均コストはタスク固有のトレーニングなしで0.09ドルである。
論文 参考訳(メタデータ) (2026-03-21T04:12:04Z) - A Coin Flip for Safety: LLM Judges Fail to Reliably Measure Adversarial Robustness [57.510025257780306]
既存の検証プロトコルは、レッドチーム固有の分散シフトを考慮できないことを示す。
我々は、より一貫して判断可能な振る舞いのベンチマークであるReliableBenchと、判断失敗を公開するために設計されたデータセットであるJiceStressTestを提案する。
論文 参考訳(メタデータ) (2026-02-04T15:13:35Z) - AI Security Beyond Core Domains: Resume Screening as a Case Study of Adversarial Vulnerabilities in Specialized LLM Applications [71.27518152526686]
大きな言語モデル(LLM)はテキストの理解と生成に優れており、コードレビューやコンテンツモデレーションといった自動タスクに最適である。
LLMは履歴書やコードなどの入力データに隠された「逆命令」で操作でき、意図したタスクから逸脱する。
本稿では,特定の攻撃タイプに対して80%以上の攻撃成功率を示すとともに,この脆弱性を再開スクリーニングで評価するためのベンチマークを提案する。
論文 参考訳(メタデータ) (2025-12-23T08:42:09Z) - What Do They Fix? LLM-Aided Categorization of Security Patches for Critical Memory Bugs [46.325755802511026]
我々は、LLM(Large Language Model)と細調整された小言語モデルに基づく2つのアプローチを統合するデュアルメタルパイプラインであるLMを開発した。
LMは、OOBまたはUAFの脆弱性に対処する最近のLinuxカーネルのパッチ5,140のうち111つを、手作業による検証によって90の正の正が確認された。
論文 参考訳(メタデータ) (2025-09-26T18:06:36Z) - Unveiling Hidden Links Between Unseen Security Entities [3.7138962865789353]
VulnScopperは、知識グラフ(KG)と自然言語処理(NLP)を組み合わせたマルチモーダル表現学習を利用した革新的なアプローチである。
我々は、National Vulnerability Database(NVD)とRed Hat CVEデータベースの2つの主要なセキュリティデータセットでVulnScopperを評価した。
VulnScopperは既存の手法よりも優れており、CVEをCWE(Common Vulnerabilities and Exposures)、CPE(Common Platform Languageions)にリンクする際の78%のHits@10精度を実現している。
論文 参考訳(メタデータ) (2024-03-04T13:14:39Z) - Conservative Prediction via Data-Driven Confidence Minimization [70.93946578046003]
機械学習の安全性クリティカルな応用においては、モデルが保守的であることが望ましいことが多い。
本研究では,不確実性データセットに対する信頼性を最小化するデータ駆動信頼性最小化フレームワークを提案する。
論文 参考訳(メタデータ) (2023-06-08T07:05:36Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。