会员服务
工具 · 漏洞检测 · 实证研究 · 检测器 · 失效 ·
1 月 27 日
LLM-based Vulnerability Detection at Project Scale: An Empirical Study
翻译:基于LLM的项目级漏洞检测:一项实证研究
Fengjie Li,Jiajun Jiang,Dongchi Chen,Yingfei Xiong
Fengjie Li,Jiajun Jiang,Dongchi Chen,Yingfei Xiong
from arxiv, 19 pages, 13 figures, 11 tables

In this paper, we present the first comprehensive empirical study of specialized LLM-based detectors and compare them with traditional static analyzers at the project scale. Specifically, our study evaluates five latest and representative LLM-based methods and two traditional tools using: 1) an in-house benchmark of 222 known real-world vulnerabilities (C/C++ and Java) to assess detection capability, and 2) 24 active open-source projects, where we manually inspected 385 warnings to assess their practical usability and underlying root causes of failures. Our evaluation yields three key findings: First, while LLM-based detectors exhibit low recall on the in-house benchmark, they still uncover more unique vulnerabilities than traditional tools. Second, in open-source projects, both LLM-based and traditional tools generate substantial warnings but suffer from very high false discovery rates, hindering practical use. Our manual analysis further reveals shallow interprocedural reasoning and misidentified source/sink pairs as primary failure causes, with LLM-based tools exhibiting additional unique failures. Finally, LLM-based methods incurs substantial computational costs-hundreds of thousands to hundreds of millions of tokens and multi-hour to multi-day runtimes. Overall, our findings underscore critical limitations in the robustness, reliability, and scalability of current LLM-based detectors. We ultimately summarize a set of implications for future research toward more effective and practical project-scale vulnerability detection.


翻译:本文首次对专用基于LLM的检测器进行了全面实证研究,并在项目尺度上将其与传统静态分析工具进行比较。具体而言,本研究通过以下方式评估了五种最新且具有代表性的基于LLM的方法及两种传统工具:1)使用包含222个已知真实漏洞(C/C++与Java)的内部基准评估检测能力;2)选取24个活跃开源项目,通过人工审查385条告警来评估其实际可用性及失效的根本原因。我们的评估得出三个关键发现:首先,基于LLM的检测器在内部基准上召回率较低,但仍能比传统工具发现更多独特漏洞。其次,在开源项目中,基于LLM和传统工具均产生大量告警,但其误报率极高,阻碍了实际应用。进一步的人工分析表明,浅层跨过程推理及源/汇点对误判是主要失效原因,而基于LLM的工具还表现出其他独特失效模式。最后,基于LLM的方法需消耗大量计算资源——处理数十万至数亿token并耗时数小时至数天。总体而言,我们的研究结果揭示了当前基于LLM的检测器在鲁棒性、可靠性和可扩展性方面存在显著局限。最终,我们总结了对未来研究的启示,以推动实现更有效、实用的项目级漏洞检测。
0
下载
关闭预览

相关内容

LLM/智能体作为数据分析师:综述
LLM/智能体作为数据分析师:综述
专知会员服务
36+阅读 · 2025年9月30日
利用多个大型语言模型:关于LLM集成的调研
利用多个大型语言模型:关于LLM集成的调研
专知会员服务
35+阅读 · 2025年2月27日
【新书】解码大型语言模型:理解、实现与优化LLM在自然语言处理应用中的全面指南
【新书】解码大型语言模型:理解、实现与优化LLM在自然语言处理应用中的全面指南
专知会员服务
48+阅读 · 2024年12月13日
《以人为中心的大型语言模型(LLM)研究综述》
《以人为中心的大型语言模型(LLM)研究综述》
专知会员服务
41+阅读 · 2024年11月25日
从基础到突破的LLM微调终极指南:技术、研究、最佳实践、应用研究挑战与机遇的全面综述
从基础到突破的LLM微调终极指南:技术、研究、最佳实践、应用研究挑战与机遇的全面综述
专知会员服务
55+阅读 · 2024年11月17日
《美国防部对人工智能和 LLM 编写评估因素的信心与偏见》2024最新275页论文
《美国防部对人工智能和 LLM 编写评估因素的信心与偏见》2024最新275页论文
专知会员服务
63+阅读 · 2024年3月4日
【ICLR2024】能检测到LLM产生的错误信息吗?
【ICLR2024】能检测到LLM产生的错误信息吗?
专知会员服务
25+阅读 · 2024年1月23日
如何检测LLM内容?UCSB等最新首篇《LLM生成内容检测》综述
如何检测LLM内容?UCSB等最新首篇《LLM生成内容检测》综述
专知会员服务
49+阅读 · 2023年10月29日
大模型如何处理事实?西湖大学等最新《大型语言模型中的事实性研究》综述,详述: LLM的知识、检索与领域特异性
大模型如何处理事实?西湖大学等最新《大型语言模型中的事实性研究》综述,详述: LLM的知识、检索与领域特异性
专知会员服务
47+阅读 · 2023年10月12日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
推荐!《对抗性在线学习》【译文】美国海军研究实验室项目总结报告
推荐!《对抗性在线学习》【译文】美国海军研究实验室项目总结报告
专知
11+阅读 · 2022年9月29日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
异常检测(Anomaly Detection)综述
异常检测(Anomaly Detection)综述
极市平台
20+阅读 · 2020年10月24日
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
专知
79+阅读 · 2019年4月24日
最新49页《深度学习异常检测综述》论文,带你全面了解深度学习异常检测方法
最新49页《深度学习异常检测综述》论文,带你全面了解深度学习异常检测方法
专知
137+阅读 · 2019年1月14日
【机器视觉】表面缺陷检测:机器视觉检测技术
【机器视觉】表面缺陷检测:机器视觉检测技术
产业智能官
25+阅读 · 2018年5月30日
基于区域的目标检测——细粒度
基于区域的目标检测——细粒度
计算机视觉战队
14+阅读 · 2018年2月1日
【论文推荐】最新5篇目标检测相关论文——显著目标检测、弱监督One-Shot检测、多框检测器、携带物体检测、假彩色图像检测
【论文推荐】最新5篇目标检测相关论文——显著目标检测、弱监督One-Shot检测、多框检测器、携带物体检测、假彩色图像检测
专知
74+阅读 · 2018年1月16日
深度学习目标检测模型全面综述:Faster R-CNN、R-FCN和SSD
深度学习目标检测模型全面综述:Faster R-CNN、R-FCN和SSD
深度学习世界
10+阅读 · 2017年9月18日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
基于抽象语义切片和后向求精分析的静态分析警报自动确认研究
国家自然科学基金
1+阅读 · 2015年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
在线检测工件表面质量的“透明窗”方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于氧化石墨烯的超灵敏度真空检漏校准基础问题研究
国家自然科学基金
0+阅读 · 2015年12月31日
面向大数据的城市地下工程施工期安全风险评估方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
From SFT to RL: Demystifying the Post-Training Pipeline for LLM-based Vulnerability Detection
Arxiv
0+阅读 · 2月15日
LLMEval-Fair: A Large-Scale Longitudinal Study on Robust and Fair Evaluation of Large Language Models
Arxiv
0+阅读 · 2月12日
Persistent Human Feedback, LLMs, and Static Analyzers for Secure Code Generation and Vulnerability Detection
Persistent Human Feedback, LLMs, and Static Analyzers for Secure Code Generation and Vulnerability Detection
Arxiv
0+阅读 · 2月5日
On the Difficulty of Selecting Few-Shot Examples for Effective LLM-based Vulnerability Detection
Arxiv
0+阅读 · 2月4日
Semantics-Preserving Evasion of LLM Vulnerability Detectors
Arxiv
0+阅读 · 1月30日
Sifting the Noise: A Comparative Study of LLM Agents in Vulnerability False Positive Filtering
Arxiv
0+阅读 · 1月30日
The Semantic Trap: Do Fine-tuned LLMs Learn Vulnerability Root Cause or Just Functional Pattern?
Arxiv
0+阅读 · 1月30日
Automated structural testing of LLM-based agents: methods, framework, and case studies
Arxiv
0+阅读 · 1月25日
ProveRAG: Provenance-Driven Vulnerability Analysis with Automated Retrieval-Augmented LLMs
Arxiv
0+阅读 · 1月23日
A Prompt-Based Framework for Loop Vulnerability Detection Using Local LLMs
Arxiv
0+阅读 · 1月21日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
工具
漏洞检测
实证研究
检测器
失效
相关VIP内容
LLM/智能体作为数据分析师:综述
LLM/智能体作为数据分析师:综述
专知会员服务
36+阅读 · 2025年9月30日
利用多个大型语言模型:关于LLM集成的调研
利用多个大型语言模型:关于LLM集成的调研
专知会员服务
35+阅读 · 2025年2月27日
【新书】解码大型语言模型:理解、实现与优化LLM在自然语言处理应用中的全面指南
【新书】解码大型语言模型:理解、实现与优化LLM在自然语言处理应用中的全面指南
专知会员服务
48+阅读 · 2024年12月13日
《以人为中心的大型语言模型(LLM)研究综述》
《以人为中心的大型语言模型(LLM)研究综述》
专知会员服务
41+阅读 · 2024年11月25日
从基础到突破的LLM微调终极指南:技术、研究、最佳实践、应用研究挑战与机遇的全面综述
从基础到突破的LLM微调终极指南:技术、研究、最佳实践、应用研究挑战与机遇的全面综述
专知会员服务
55+阅读 · 2024年11月17日
《美国防部对人工智能和 LLM 编写评估因素的信心与偏见》2024最新275页论文
《美国防部对人工智能和 LLM 编写评估因素的信心与偏见》2024最新275页论文
专知会员服务
63+阅读 · 2024年3月4日
【ICLR2024】能检测到LLM产生的错误信息吗?
【ICLR2024】能检测到LLM产生的错误信息吗?
专知会员服务
25+阅读 · 2024年1月23日
如何检测LLM内容?UCSB等最新首篇《LLM生成内容检测》综述
如何检测LLM内容?UCSB等最新首篇《LLM生成内容检测》综述
专知会员服务
49+阅读 · 2023年10月29日
大模型如何处理事实?西湖大学等最新《大型语言模型中的事实性研究》综述,详述: LLM的知识、检索与领域特异性
大模型如何处理事实?西湖大学等最新《大型语言模型中的事实性研究》综述,详述: LLM的知识、检索与领域特异性
专知会员服务
47+阅读 · 2023年10月12日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
热门VIP内容
相关资讯
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
推荐!《对抗性在线学习》【译文】美国海军研究实验室项目总结报告
推荐!《对抗性在线学习》【译文】美国海军研究实验室项目总结报告
专知
11+阅读 · 2022年9月29日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
异常检测(Anomaly Detection)综述
异常检测(Anomaly Detection)综述
极市平台
20+阅读 · 2020年10月24日
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
专知
79+阅读 · 2019年4月24日
最新49页《深度学习异常检测综述》论文,带你全面了解深度学习异常检测方法
最新49页《深度学习异常检测综述》论文,带你全面了解深度学习异常检测方法
专知
137+阅读 · 2019年1月14日
【机器视觉】表面缺陷检测:机器视觉检测技术
【机器视觉】表面缺陷检测:机器视觉检测技术
产业智能官
25+阅读 · 2018年5月30日
基于区域的目标检测——细粒度
基于区域的目标检测——细粒度
计算机视觉战队
14+阅读 · 2018年2月1日
【论文推荐】最新5篇目标检测相关论文——显著目标检测、弱监督One-Shot检测、多框检测器、携带物体检测、假彩色图像检测
【论文推荐】最新5篇目标检测相关论文——显著目标检测、弱监督One-Shot检测、多框检测器、携带物体检测、假彩色图像检测
专知
74+阅读 · 2018年1月16日
深度学习目标检测模型全面综述:Faster R-CNN、R-FCN和SSD
深度学习目标检测模型全面综述:Faster R-CNN、R-FCN和SSD
深度学习世界
10+阅读 · 2017年9月18日
相关论文
From SFT to RL: Demystifying the Post-Training Pipeline for LLM-based Vulnerability Detection
Arxiv
0+阅读 · 2月15日
LLMEval-Fair: A Large-Scale Longitudinal Study on Robust and Fair Evaluation of Large Language Models
Arxiv
0+阅读 · 2月12日
Persistent Human Feedback, LLMs, and Static Analyzers for Secure Code Generation and Vulnerability Detection
Persistent Human Feedback, LLMs, and Static Analyzers for Secure Code Generation and Vulnerability Detection
Arxiv
0+阅读 · 2月5日
On the Difficulty of Selecting Few-Shot Examples for Effective LLM-based Vulnerability Detection
Arxiv
0+阅读 · 2月4日
Semantics-Preserving Evasion of LLM Vulnerability Detectors
Arxiv
0+阅读 · 1月30日
Sifting the Noise: A Comparative Study of LLM Agents in Vulnerability False Positive Filtering
Arxiv
0+阅读 · 1月30日
The Semantic Trap: Do Fine-tuned LLMs Learn Vulnerability Root Cause or Just Functional Pattern?
Arxiv
0+阅读 · 1月30日
Automated structural testing of LLM-based agents: methods, framework, and case studies
Arxiv
0+阅读 · 1月25日
ProveRAG: Provenance-Driven Vulnerability Analysis with Automated Retrieval-Augmented LLMs
Arxiv
0+阅读 · 1月23日
A Prompt-Based Framework for Loop Vulnerability Detection Using Local LLMs
Arxiv
0+阅读 · 1月21日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
基于抽象语义切片和后向求精分析的静态分析警报自动确认研究
国家自然科学基金
1+阅读 · 2015年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
在线检测工件表面质量的“透明窗”方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于氧化石墨烯的超灵敏度真空检漏校准基础问题研究
国家自然科学基金
0+阅读 · 2015年12月31日
面向大数据的城市地下工程施工期安全风险评估方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top