会员服务
代码 · 包含 · Gemini · 语言模型 · 大语言模型 ·
2 月 3 日
Can Developers rely on LLMs for Secure IaC Development?
翻译:开发者能否依赖LLM进行安全的IaC开发?
Ehsan Firouzi,Shardul Bhatt,Mohammad Ghafari
Ehsan Firouzi,Shardul Bhatt,Mohammad Ghafari

We investigated the capabilities of GPT-4o and Gemini 2.0 Flash for secure Infrastructure as Code (IaC) development. For security smell detection, on the Stack Overflow dataset, which primarily contains small, simplified code snippets, the models detected at least 71% of security smells when prompted to analyze code from a security perspective (general prompt). With a guided prompt (adding clear, step-by-step instructions), this increased to 78%.In GitHub repositories, which contain complete, real-world project scripts, a general prompt was less effective, leaving more than half of the smells undetected. However, with the guided prompt, the models uncovered at least 67% of the smells. For secure code generation, we prompted LLMs with 89 vulnerable synthetic scenarios and observed that only 7% of the generated scripts were secure. Adding an explicit instruction to generate secure code increased GPT secure output rate to 17%, while Gemini changed little (8%). These results highlight the need for further research to improve LLMs' capabilities in assisting developers with secure IaC development.


翻译:本研究评估了GPT-4o与Gemini 2.0 Flash在安全基础设施即代码(IaC)开发中的能力。在安全异味检测方面,针对主要包含小型简化代码片段的Stack Overflow数据集,当提示模型从安全角度分析代码时(通用提示),模型至少能检测出71%的安全异味;采用引导式提示(添加清晰的分步指令)后,检测率提升至78%。在包含完整实际项目脚本的GitHub仓库中,通用提示效果较差,超过半数的异味未被发现;而引导式提示使模型至少能发现67%的异味。在安全代码生成方面,我们通过89个存在漏洞的合成场景提示大语言模型,发现仅有7%的生成脚本是安全的。添加明确的安全编码指令后,GPT的安全输出率提升至17%,而Gemini改进有限(8%)。这些结果表明,需要进一步研究以提升大语言模型辅助开发者进行安全IaC开发的能力。
0
下载
关闭预览

相关内容

代码(Code)是专知网的一个重要知识资料文档板块,旨在整理收录论文源代码、复现代码,经典工程代码等,便于用户查阅下载使用。
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
专知会员服务
10+阅读 · 2025年9月3日
大型语言模型(LLM)智能体全栈安全的综述:数据、训练与部署
大型语言模型(LLM)智能体全栈安全的综述:数据、训练与部署
专知会员服务
32+阅读 · 2025年4月23日
《使用大语言模型(LLM)对安全作战中心的威胁情报分析工作流程实现自动化》
《使用大语言模型(LLM)对安全作战中心的威胁情报分析工作流程实现自动化》
专知会员服务
33+阅读 · 2024年8月2日
Meta Llama 3.1 405B 正式发布发布,Llama成大模型顶流,扎克伯格掀论战:玩开源,时代变了
Meta Llama 3.1 405B 正式发布发布,Llama成大模型顶流,扎克伯格掀论战:玩开源,时代变了
专知会员服务
19+阅读 · 2024年7月24日
大模型安全性,Google DeepMind Nicholas Carlini,附191页slides与视频
大模型安全性,Google DeepMind Nicholas Carlini,附191页slides与视频
专知会员服务
31+阅读 · 2024年7月15日
【新书】构建LLM应用:使用大型语言模型创建智能应用和代理,312页pdf
【新书】构建LLM应用:使用大型语言模型创建智能应用和代理,312页pdf
专知会员服务
100+阅读 · 2024年6月15日
【ICLR2024】能检测到LLM产生的错误信息吗?
【ICLR2024】能检测到LLM产生的错误信息吗?
专知会员服务
25+阅读 · 2024年1月23日
如何构建媲美ChatGPT的开源大模型?南洋理工等最新《开源大型语言模型》综述,最佳开源LLM配方
如何构建媲美ChatGPT的开源大模型?南洋理工等最新《开源大型语言模型》综述,最佳开源LLM配方
专知会员服务
75+阅读 · 2023年11月29日
深度学习如何可信?港理工等最新《2D和3D深度学习模型对抗性攻击的鲁棒性和安全性》综述,涵盖170篇论文
深度学习如何可信?港理工等最新《2D和3D深度学习模型对抗性攻击的鲁棒性和安全性》综述,涵盖170篇论文
专知会员服务
28+阅读 · 2023年10月3日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
《人工智能安全测评白皮书》,99页pdf
《人工智能安全测评白皮书》,99页pdf
专知
36+阅读 · 2022年2月26日
YOLOv5在建筑工地中安全帽佩戴检测的应用(已开源+数据集)
YOLOv5在建筑工地中安全帽佩戴检测的应用(已开源+数据集)
计算机视觉life
24+阅读 · 2020年11月10日
微软VS Code已原生支持Jupyter笔记本,再也不用打开网页调试运行了
微软VS Code已原生支持Jupyter笔记本,再也不用打开网页调试运行了
量子位
14+阅读 · 2019年10月22日
外包开发的风险,一半以上的企业都被坑过
外包开发的风险,一半以上的企业都被坑过
DBAplus社群
16+阅读 · 2019年9月1日
通过Termux打造免root安卓渗透工具
通过Termux打造免root安卓渗透工具
黑客技术与网络安全
16+阅读 · 2019年8月16日
论文浅尝 | 学习开发知识图谱中的长期关系依赖 - ICML 2019
论文浅尝 | 学习开发知识图谱中的长期关系依赖 - ICML 2019
开放知识图谱
12+阅读 · 2019年7月17日
成熟的目标检测,也该自己学习数据增强策略达到SOTA了
成熟的目标检测,也该自己学习数据增强策略达到SOTA了
机器之心
17+阅读 · 2019年6月28日
AnDOSid - 适用于黑客的Android应用程序
AnDOSid - 适用于黑客的Android应用程序
黑白之道
11+阅读 · 2019年3月14日
【AAAI2019教程】面向隐私安全保密的联邦学习与迁移学习,101页pdf
【AAAI2019教程】面向隐私安全保密的联邦学习与迁移学习,101页pdf
专知
47+阅读 · 2019年1月29日
Fully-Convolutional Siamese Networks for Object Tracking论文笔记
Fully-Convolutional Siamese Networks for Object Tracking论文笔记
统计学习与视觉计算组
10+阅读 · 2018年10月12日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
云计算环境信任链系统安全性理论研究
国家自然科学基金
0+阅读 · 2015年12月31日
支持PDE存储的安全增强型Android系统
国家自然科学基金
0+阅读 · 2015年12月31日
可与MPSoC高度融合的片上自主测试-自主修复关键技术研究:针对自然、人为可靠性威胁
国家自然科学基金
0+阅读 · 2015年12月31日
移动云计算环境下密码计算可证安全负载迁移研究
国家自然科学基金
0+阅读 · 2014年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
Android移动终端多语种基础软件组合的安全技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
面向CCMANET网络可证明安全命名与名字路由机制关键技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
GoodVibe: Security-by-Vibe for LLM-Based Code Generation
Arxiv
0+阅读 · 2月11日
Can LLMs Find Bugs in Code? An Evaluation from Beginner Errors to Security Vulnerabilities in Python and C++
Arxiv
0+阅读 · 2月9日
LLMs + Security = Trouble
Arxiv
0+阅读 · 2月9日
Persistent Human Feedback, LLMs, and Static Analyzers for Secure Code Generation and Vulnerability Detection
Persistent Human Feedback, LLMs, and Static Analyzers for Secure Code Generation and Vulnerability Detection
Arxiv
0+阅读 · 2月5日
Co-RedTeam: Orchestrated Security Discovery and Exploitation with LLM Agents
Arxiv
0+阅读 · 2月3日
STAC: When Innocent Tools Form Dangerous Chains to Jailbreak LLM Agents
Arxiv
0+阅读 · 2月2日
Co-RedTeam: Orchestrated Security Discovery and Exploitation with LLM Agents
Arxiv
0+阅读 · 2月2日
Llama-3.1-FoundationAI-SecurityLLM-Reasoning-8B Technical Report
Arxiv
0+阅读 · 1月28日
Securing LLM-as-a-Service for Small Businesses: An Industry Case Study of a Distributed Chatbot Deployment Platform
Arxiv
0+阅读 · 1月21日
Why Does the LLM Stop Computing: An Empirical Study of User-Reported Failures in Open-Source LLMs
Arxiv
0+阅读 · 1月20日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
代码
包含
Gemini
语言模型
大语言模型
相关VIP内容
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
专知会员服务
10+阅读 · 2025年9月3日
大型语言模型(LLM)智能体全栈安全的综述:数据、训练与部署
大型语言模型(LLM)智能体全栈安全的综述:数据、训练与部署
专知会员服务
32+阅读 · 2025年4月23日
《使用大语言模型(LLM)对安全作战中心的威胁情报分析工作流程实现自动化》
《使用大语言模型(LLM)对安全作战中心的威胁情报分析工作流程实现自动化》
专知会员服务
33+阅读 · 2024年8月2日
Meta Llama 3.1 405B 正式发布发布,Llama成大模型顶流,扎克伯格掀论战:玩开源,时代变了
Meta Llama 3.1 405B 正式发布发布,Llama成大模型顶流,扎克伯格掀论战:玩开源,时代变了
专知会员服务
19+阅读 · 2024年7月24日
大模型安全性,Google DeepMind Nicholas Carlini,附191页slides与视频
大模型安全性,Google DeepMind Nicholas Carlini,附191页slides与视频
专知会员服务
31+阅读 · 2024年7月15日
【新书】构建LLM应用:使用大型语言模型创建智能应用和代理,312页pdf
【新书】构建LLM应用:使用大型语言模型创建智能应用和代理,312页pdf
专知会员服务
100+阅读 · 2024年6月15日
【ICLR2024】能检测到LLM产生的错误信息吗?
【ICLR2024】能检测到LLM产生的错误信息吗?
专知会员服务
25+阅读 · 2024年1月23日
如何构建媲美ChatGPT的开源大模型?南洋理工等最新《开源大型语言模型》综述,最佳开源LLM配方
如何构建媲美ChatGPT的开源大模型?南洋理工等最新《开源大型语言模型》综述,最佳开源LLM配方
专知会员服务
75+阅读 · 2023年11月29日
深度学习如何可信?港理工等最新《2D和3D深度学习模型对抗性攻击的鲁棒性和安全性》综述,涵盖170篇论文
深度学习如何可信?港理工等最新《2D和3D深度学习模型对抗性攻击的鲁棒性和安全性》综述,涵盖170篇论文
专知会员服务
28+阅读 · 2023年10月3日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
热门VIP内容
相关资讯
《人工智能安全测评白皮书》,99页pdf
《人工智能安全测评白皮书》,99页pdf
专知
36+阅读 · 2022年2月26日
YOLOv5在建筑工地中安全帽佩戴检测的应用(已开源+数据集)
YOLOv5在建筑工地中安全帽佩戴检测的应用(已开源+数据集)
计算机视觉life
24+阅读 · 2020年11月10日
微软VS Code已原生支持Jupyter笔记本,再也不用打开网页调试运行了
微软VS Code已原生支持Jupyter笔记本,再也不用打开网页调试运行了
量子位
14+阅读 · 2019年10月22日
外包开发的风险,一半以上的企业都被坑过
外包开发的风险,一半以上的企业都被坑过
DBAplus社群
16+阅读 · 2019年9月1日
通过Termux打造免root安卓渗透工具
通过Termux打造免root安卓渗透工具
黑客技术与网络安全
16+阅读 · 2019年8月16日
论文浅尝 | 学习开发知识图谱中的长期关系依赖 - ICML 2019
论文浅尝 | 学习开发知识图谱中的长期关系依赖 - ICML 2019
开放知识图谱
12+阅读 · 2019年7月17日
成熟的目标检测,也该自己学习数据增强策略达到SOTA了
成熟的目标检测,也该自己学习数据增强策略达到SOTA了
机器之心
17+阅读 · 2019年6月28日
AnDOSid - 适用于黑客的Android应用程序
AnDOSid - 适用于黑客的Android应用程序
黑白之道
11+阅读 · 2019年3月14日
【AAAI2019教程】面向隐私安全保密的联邦学习与迁移学习,101页pdf
【AAAI2019教程】面向隐私安全保密的联邦学习与迁移学习,101页pdf
专知
47+阅读 · 2019年1月29日
Fully-Convolutional Siamese Networks for Object Tracking论文笔记
Fully-Convolutional Siamese Networks for Object Tracking论文笔记
统计学习与视觉计算组
10+阅读 · 2018年10月12日
相关论文
GoodVibe: Security-by-Vibe for LLM-Based Code Generation
Arxiv
0+阅读 · 2月11日
Can LLMs Find Bugs in Code? An Evaluation from Beginner Errors to Security Vulnerabilities in Python and C++
Arxiv
0+阅读 · 2月9日
LLMs + Security = Trouble
Arxiv
0+阅读 · 2月9日
Persistent Human Feedback, LLMs, and Static Analyzers for Secure Code Generation and Vulnerability Detection
Persistent Human Feedback, LLMs, and Static Analyzers for Secure Code Generation and Vulnerability Detection
Arxiv
0+阅读 · 2月5日
Co-RedTeam: Orchestrated Security Discovery and Exploitation with LLM Agents
Arxiv
0+阅读 · 2月3日
STAC: When Innocent Tools Form Dangerous Chains to Jailbreak LLM Agents
Arxiv
0+阅读 · 2月2日
Co-RedTeam: Orchestrated Security Discovery and Exploitation with LLM Agents
Arxiv
0+阅读 · 2月2日
Llama-3.1-FoundationAI-SecurityLLM-Reasoning-8B Technical Report
Arxiv
0+阅读 · 1月28日
Securing LLM-as-a-Service for Small Businesses: An Industry Case Study of a Distributed Chatbot Deployment Platform
Arxiv
0+阅读 · 1月21日
Why Does the LLM Stop Computing: An Empirical Study of User-Reported Failures in Open-Source LLMs
Arxiv
0+阅读 · 1月20日
相关基金
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
云计算环境信任链系统安全性理论研究
国家自然科学基金
0+阅读 · 2015年12月31日
支持PDE存储的安全增强型Android系统
国家自然科学基金
0+阅读 · 2015年12月31日
可与MPSoC高度融合的片上自主测试-自主修复关键技术研究:针对自然、人为可靠性威胁
国家自然科学基金
0+阅读 · 2015年12月31日
移动云计算环境下密码计算可证安全负载迁移研究
国家自然科学基金
0+阅读 · 2014年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
Android移动终端多语种基础软件组合的安全技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
面向CCMANET网络可证明安全命名与名字路由机制关键技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top