会员服务
路径 · 接口 · 目标函数 · 语言模型 · 测试方法 ·
3 月 13 日
PILOT: Command-line Interface Fuzzing via Path-Guided, Iterative Large Language Model Prompting
翻译:PILOT:基于路径引导迭代式大语言模型提示的命令行接口模糊测试
Momoko Shiraishi,Yinzhi Cao,Takahiro Shinagawa
Momoko Shiraishi,Yinzhi Cao,Takahiro Shinagawa
from arxiv, Accepted at the 47th IEEE Symposium on Security and Privacy (IEEE S&P 2026)

Command-line interface (CLI) fuzzing tests programs by mutating both command-line options and input file contents, thus enabling discovery of vulnerabilities that only manifest under specific option-input combinations. Prior works of CLI fuzzing face the challenges of generating semantics-rich option strings and input files, which cannot reach deeply embedded target functions. This often leads to a misdetection of such a deep vulnerability using existing CLI fuzzing techniques. In this paper, we design a novel Path-guided, Iterative LLM-Orchestrated Testing framework, called PILOT, to fuzz CLI applications. The key insight is to provide potential call paths to target functions as context to LLM so that it can better generate CLI option strings and input files. Then, PILOT iteratively repeats the process, and provides reached functions as additional context so that target functions are reached. Our evaluation on real-world CLI applications demonstrates that PILOT achieves higher coverage than state-of-the-art fuzzing approaches and discovers 51 zero-day vulnerabilities. We responsibly disclosed all the vulnerabilities to their developers and so far 41 have been confirmed by their developers with 33 being fixed and three assigned CVE identifiers.


翻译:命令行接口(CLI)模糊测试通过变异命令行选项与输入文件内容来测试程序,从而能够发现仅在特定选项-输入组合下才显现的漏洞。现有CLI模糊测试方法面临生成语义丰富的选项字符串与输入文件的挑战,难以触及深层嵌入的目标函数,这常导致现有CLI模糊测试技术对此类深层漏洞的漏检。本文设计了一种新颖的路径引导迭代式LLM协同测试框架(称为PILOT)用于CLI应用程序模糊测试。其核心思想是向大语言模型提供目标函数的潜在调用路径作为上下文,使其能更有效地生成CLI选项字符串与输入文件。随后,PILOT迭代重复该过程,并将已触达的函数作为新增上下文,从而逐步抵达目标函数。我们在真实CLI应用程序上的评估表明,PILOT相比最先进的模糊测试方法实现了更高的代码覆盖率,并发现了51个零日漏洞。我们已向相关开发者负责任地披露了全部漏洞,截至目前其中41个漏洞获得开发者确认,33个已完成修复,另有3个被分配了CVE标识符。
0
下载
关闭预览

相关内容

构建面向终端的 AI 编程智能体:脚手架、测试环境、上下文工程及实践经验
构建面向终端的 AI 编程智能体:脚手架、测试环境、上下文工程及实践经验
专知会员服务
25+阅读 · 3月8日
用于单元测试生成的大型语言模型:成果、挑战与未来方向
用于单元测试生成的大型语言模型:成果、挑战与未来方向
专知会员服务
17+阅读 · 2025年11月27日
定制化大型语言模型的图检索增强生成综述
定制化大型语言模型的图检索增强生成综述
专知会员服务
38+阅读 · 2025年1月28日
大型语言模型对齐技术综述:RLHF、RLAIF、PPO、DPO 等
大型语言模型对齐技术综述:RLHF、RLAIF、PPO、DPO 等
专知会员服务
55+阅读 · 2024年7月24日
大模型如何统一生成和嵌入?最新《生成式表示指令微调》论文详细解答
大模型如何统一生成和嵌入?最新《生成式表示指令微调》论文详细解答
专知会员服务
44+阅读 · 2024年2月18日
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
专知会员服务
111+阅读 · 2023年12月19日
大模型中视觉指令调优怎么做?腾讯最新《视觉-语言指令调优》综述与分析
大模型中视觉指令调优怎么做?腾讯最新《视觉-语言指令调优》综述与分析
专知会员服务
45+阅读 · 2023年11月18日
《大型语言模型指令调优》综述
《大型语言模型指令调优》综述
专知会员服务
74+阅读 · 2023年8月27日
【ICML2022】Branchformer:并行MLP-Attention架构,捕捉局部和全局上下文,用于语音识别和理解
【ICML2022】Branchformer:并行MLP-Attention架构,捕捉局部和全局上下文,用于语音识别和理解
专知会员服务
25+阅读 · 2022年7月8日
NLP新范式-预训练,提示(Prompt),预测!CMU刘鹏飞等论文综述预训练语言模型提示学习进展
NLP新范式-预训练,提示(Prompt),预测!CMU刘鹏飞等论文综述预训练语言模型提示学习进展
专知会员服务
71+阅读 · 2021年7月31日
八个不容错过的 GitHub Copilot 功能!
八个不容错过的 GitHub Copilot 功能!
CSDN
11+阅读 · 2022年9月22日
【Github】nlp-tutorial:TensorFlow 和 PyTorch 实现各种NLP模型
【Github】nlp-tutorial:TensorFlow 和 PyTorch 实现各种NLP模型
AINLP
14+阅读 · 2019年9月4日
如何找到相似Graph?DeepMind提出超越GNN的图匹配网络
如何找到相似Graph?DeepMind提出超越GNN的图匹配网络
机器之心
24+阅读 · 2019年5月7日
北大、清华、微软联合提出RepPoints,比边界框更好用的目标检测方法
北大、清华、微软联合提出RepPoints,比边界框更好用的目标检测方法
全球人工智能
13+阅读 · 2019年4月30日
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
专知
79+阅读 · 2019年4月24日
AmpliGraph:知识图谱表示学习工具包
AmpliGraph:知识图谱表示学习工具包
专知
40+阅读 · 2019年4月6日
pytorch-pretrained-BERT:BERT PyTorch实现,可加载Google BERT预训练模型
pytorch-pretrained-BERT:BERT PyTorch实现,可加载Google BERT预训练模型
AINLP
35+阅读 · 2018年11月6日
原创 | Attention Modeling for Targeted Sentiment
原创 | Attention Modeling for Targeted Sentiment
黑龙江大学自然语言处理实验室
25+阅读 · 2017年11月5日
推荐|caffe-orc主流ocr算法:CNN+BLSTM+CTC架构实现!
推荐|caffe-orc主流ocr算法:CNN+BLSTM+CTC架构实现!
全球人工智能
19+阅读 · 2017年10月29日
自然语言处理中的Attention Model:是什么及为什么
自然语言处理中的Attention Model:是什么及为什么
新智元
11+阅读 · 2017年7月13日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于深度学习的复杂退化模糊图像恢复
国家自然科学基金
5+阅读 · 2015年12月31日
大数据背景下面向操作模式的约简算法研究
国家自然科学基金
0+阅读 · 2015年12月31日
含执行器死区/滞环非线性系统的模糊自适应容错控制
国家自然科学基金
0+阅读 · 2015年12月31日
基于犹豫模糊语言信息的定性决策理论与方法
国家自然科学基金
2+阅读 · 2015年12月31日
试验设计中的模型选择
国家自然科学基金
6+阅读 · 2014年12月31日
基于概率图的文本检索模型及算法研究
国家自然科学基金
2+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
支持软件可信演化的故障定位研究
国家自然科学基金
0+阅读 · 2014年12月31日
FunFuzz: An LLM-Powered Evolutionary Fuzzing Framework
Arxiv
0+阅读 · 5月4日
SDLLMFuzz: Dynamic-static LLM-assisted greybox fuzzing for structured input programs
Arxiv
0+阅读 · 4月20日
ClawGUI: A Unified Framework for Training, Evaluating, and Deploying GUI Agents
Arxiv
0+阅读 · 4月13日
APITestGenie: Generating Web API Tests from Requirements and API Specifications with LLMs
Arxiv
0+阅读 · 4月2日
FuzzySQL: Uncovering Hidden Vulnerabilities in DBMS Special Features with LLM-Driven Fuzzing
Arxiv
0+阅读 · 3月23日
LLAMAFUZZ: Large Language Model Enhanced Greybox Fuzzing
Arxiv
0+阅读 · 3月17日
LPO: Discovering Missed Peephole Optimizations with Large Language Models
Arxiv
0+阅读 · 3月16日
FuzzySQL: Uncovering Hidden Vulnerabilities in DBMS Special Features with LLM-Driven Fuzzing
Arxiv
0+阅读 · 2月23日
Automatic, Expressive, and Scalable Fuzzing with Stitching
Arxiv
0+阅读 · 2月21日
Instruction Tuning for Large Language Models: A Survey
Instruction Tuning for Large Language Models: A Survey
Arxiv
15+阅读 · 2023年8月21日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
路径
接口
目标函数
语言模型
测试方法
最新内容
生成式AI基础小册子绪论解读:一条数学地基路线,178页pdf
生成式AI基础小册子绪论解读:一条数学地基路线,178页pdf
专知会员服务
3+阅读 · 5月29日
AutoScientists:自组织智能体团队驱动长期科学实验
AutoScientists:自组织智能体团队驱动长期科学实验
专知会员服务
2+阅读 · 5月29日
《阿利·伯克级驱逐舰的战损修理:桌面推演结果》报告
《阿利·伯克级驱逐舰的战损修理:桌面推演结果》报告
专知会员服务
4+阅读 · 5月29日
战略前沿人工智能的再思考(中文)
战略前沿人工智能的再思考(中文)
专知会员服务
4+阅读 · 5月29日
《量化地基防空系统间接效应的博弈论方法》
《量化地基防空系统间接效应的博弈论方法》
专知会员服务
4+阅读 · 5月29日
传感器网络:美国如何探测来自伊朗的导弹与无人机
传感器网络:美国如何探测来自伊朗的导弹与无人机
专知会员服务
4+阅读 · 5月29日
《无人机战争中的经济不对称:伊朗“沙赫德-136”对抗以色列“铁穹”防御系统的案例研究》
《无人机战争中的经济不对称:伊朗“沙赫德-136”对抗以色列“铁穹”防御系统的案例研究》
专知会员服务
5+阅读 · 5月29日
“史诗怒火行动”中美军损失的作战飞机
“史诗怒火行动”中美军损失的作战飞机
专知会员服务
3+阅读 · 5月29日
ICML 2026 | 理解上下文持续学习中的泛化与遗忘
ICML 2026 | 理解上下文持续学习中的泛化与遗忘
专知会员服务
5+阅读 · 5月28日
Agent Harness综述:大模型智能体执行器工程全景
Agent Harness综述:大模型智能体执行器工程全景
专知会员服务
13+阅读 · 5月28日
审视现代战争中的 AI 赋能杀伤链系统及印度防务的战略要务(中文版)
审视现代战争中的 AI 赋能杀伤链系统及印度防务的战略要务(中文版)
专知会员服务
14+阅读 · 5月28日
分布式作战效能:乌克兰如何在战术层面重新定义火力打击、电子战与防空(中文版)
分布式作战效能:乌克兰如何在战术层面重新定义火力打击、电子战与防空(中文版)
专知会员服务
9+阅读 · 5月28日
马赛克防御与分布式指挥:伊朗的回击(中文版)
马赛克防御与分布式指挥:伊朗的回击(中文版)
专知会员服务
10+阅读 · 5月28日
《基于理论的威慑效能评估》
《基于理论的威慑效能评估》
专知会员服务
8+阅读 · 5月28日
《移动旅级战斗队转型中的支援单元指挥控制挑战》
《移动旅级战斗队转型中的支援单元指挥控制挑战》
专知会员服务
15+阅读 · 5月27日
相关VIP内容
构建面向终端的 AI 编程智能体:脚手架、测试环境、上下文工程及实践经验
构建面向终端的 AI 编程智能体:脚手架、测试环境、上下文工程及实践经验
专知会员服务
25+阅读 · 3月8日
用于单元测试生成的大型语言模型:成果、挑战与未来方向
用于单元测试生成的大型语言模型:成果、挑战与未来方向
专知会员服务
17+阅读 · 2025年11月27日
定制化大型语言模型的图检索增强生成综述
定制化大型语言模型的图检索增强生成综述
专知会员服务
38+阅读 · 2025年1月28日
大型语言模型对齐技术综述:RLHF、RLAIF、PPO、DPO 等
大型语言模型对齐技术综述:RLHF、RLAIF、PPO、DPO 等
专知会员服务
55+阅读 · 2024年7月24日
大模型如何统一生成和嵌入?最新《生成式表示指令微调》论文详细解答
大模型如何统一生成和嵌入?最新《生成式表示指令微调》论文详细解答
专知会员服务
44+阅读 · 2024年2月18日
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
专知会员服务
111+阅读 · 2023年12月19日
大模型中视觉指令调优怎么做?腾讯最新《视觉-语言指令调优》综述与分析
大模型中视觉指令调优怎么做?腾讯最新《视觉-语言指令调优》综述与分析
专知会员服务
45+阅读 · 2023年11月18日
《大型语言模型指令调优》综述
《大型语言模型指令调优》综述
专知会员服务
74+阅读 · 2023年8月27日
【ICML2022】Branchformer:并行MLP-Attention架构,捕捉局部和全局上下文,用于语音识别和理解
【ICML2022】Branchformer:并行MLP-Attention架构,捕捉局部和全局上下文,用于语音识别和理解
专知会员服务
25+阅读 · 2022年7月8日
NLP新范式-预训练,提示(Prompt),预测!CMU刘鹏飞等论文综述预训练语言模型提示学习进展
NLP新范式-预训练,提示(Prompt),预测!CMU刘鹏飞等论文综述预训练语言模型提示学习进展
专知会员服务
71+阅读 · 2021年7月31日
热门VIP内容
相关资讯
八个不容错过的 GitHub Copilot 功能!
八个不容错过的 GitHub Copilot 功能!
CSDN
11+阅读 · 2022年9月22日
【Github】nlp-tutorial:TensorFlow 和 PyTorch 实现各种NLP模型
【Github】nlp-tutorial:TensorFlow 和 PyTorch 实现各种NLP模型
AINLP
14+阅读 · 2019年9月4日
如何找到相似Graph?DeepMind提出超越GNN的图匹配网络
如何找到相似Graph?DeepMind提出超越GNN的图匹配网络
机器之心
24+阅读 · 2019年5月7日
北大、清华、微软联合提出RepPoints,比边界框更好用的目标检测方法
北大、清华、微软联合提出RepPoints,比边界框更好用的目标检测方法
全球人工智能
13+阅读 · 2019年4月30日
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
专知
79+阅读 · 2019年4月24日
AmpliGraph:知识图谱表示学习工具包
AmpliGraph:知识图谱表示学习工具包
专知
40+阅读 · 2019年4月6日
pytorch-pretrained-BERT:BERT PyTorch实现,可加载Google BERT预训练模型
pytorch-pretrained-BERT:BERT PyTorch实现,可加载Google BERT预训练模型
AINLP
35+阅读 · 2018年11月6日
原创 | Attention Modeling for Targeted Sentiment
原创 | Attention Modeling for Targeted Sentiment
黑龙江大学自然语言处理实验室
25+阅读 · 2017年11月5日
推荐|caffe-orc主流ocr算法:CNN+BLSTM+CTC架构实现!
推荐|caffe-orc主流ocr算法:CNN+BLSTM+CTC架构实现!
全球人工智能
19+阅读 · 2017年10月29日
自然语言处理中的Attention Model:是什么及为什么
自然语言处理中的Attention Model:是什么及为什么
新智元
11+阅读 · 2017年7月13日
相关论文
FunFuzz: An LLM-Powered Evolutionary Fuzzing Framework
Arxiv
0+阅读 · 5月4日
SDLLMFuzz: Dynamic-static LLM-assisted greybox fuzzing for structured input programs
Arxiv
0+阅读 · 4月20日
ClawGUI: A Unified Framework for Training, Evaluating, and Deploying GUI Agents
Arxiv
0+阅读 · 4月13日
APITestGenie: Generating Web API Tests from Requirements and API Specifications with LLMs
Arxiv
0+阅读 · 4月2日
FuzzySQL: Uncovering Hidden Vulnerabilities in DBMS Special Features with LLM-Driven Fuzzing
Arxiv
0+阅读 · 3月23日
LLAMAFUZZ: Large Language Model Enhanced Greybox Fuzzing
Arxiv
0+阅读 · 3月17日
LPO: Discovering Missed Peephole Optimizations with Large Language Models
Arxiv
0+阅读 · 3月16日
FuzzySQL: Uncovering Hidden Vulnerabilities in DBMS Special Features with LLM-Driven Fuzzing
Arxiv
0+阅读 · 2月23日
Automatic, Expressive, and Scalable Fuzzing with Stitching
Arxiv
0+阅读 · 2月21日
Instruction Tuning for Large Language Models: A Survey
Instruction Tuning for Large Language Models: A Survey
Arxiv
15+阅读 · 2023年8月21日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于深度学习的复杂退化模糊图像恢复
国家自然科学基金
5+阅读 · 2015年12月31日
大数据背景下面向操作模式的约简算法研究
国家自然科学基金
0+阅读 · 2015年12月31日
含执行器死区/滞环非线性系统的模糊自适应容错控制
国家自然科学基金
0+阅读 · 2015年12月31日
基于犹豫模糊语言信息的定性决策理论与方法
国家自然科学基金
2+阅读 · 2015年12月31日
试验设计中的模型选择
国家自然科学基金
6+阅读 · 2014年12月31日
基于概率图的文本检索模型及算法研究
国家自然科学基金
2+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
支持软件可信演化的故障定位研究
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top