会员服务
4 月 15 日
RealVuln: Benchmarking Rule-Based, General-Purpose LLM, and Security-Specialized Scanners on Real-World Code
翻译:RealVuln:面向真实代码的基于规则、通用大语言模型与安全专用扫描器的基准测评
John Pellew,Faizan Raza
John Pellew,Faizan Raza
from arxiv, 16 pages, 2 figures, 4 tables. Code and data: https://github.com/kolega-ai/Real-Vuln-Benchmark. Dashboard: https://realvuln.kolega.dev/

How do security scanners perform on real-world code? We present RealVuln, the first open-source benchmark comparing Rule-Based SAST, General-Purpose LLMs, and Security-Specialized scanners on 26 intentionally vulnerable Python repositories (educational and Capture-The-Flag applications) with 796 hand-labeled entries (676 vulnerabilities, 120 false-positive traps). We test 15 scanners (3 Rule-Based SAST, 10 General-Purpose LLM, 2 Security-Specialized) and rank them by F3 score (beta=3, weighting recall 9x over precision). A clear three-tier ranking emerges under all metrics. Under F3, the Security-Specialized scanner Kolega.Dev (73.0) leads, followed by the best General-Purpose LLM, Claude Sonnet 4.6 (51.7), which in turn scores nearly 3x higher than the best Rule-Based tool, Semgrep (17.7). Under F1, Sonnet 4.6 leads (60.9) with Kolega.Dev at 52.4. Rankings within tiers shift with beta, but the three-tier hierarchy holds across all weightings. All code, ground-truth data, scanner outputs, and scoring scripts are released under an open-source license. An interactive dashboard is at https://realvuln.kolega.dev/. RealVuln is a living benchmark: versioned, community-driven, with a roadmap toward multi-language coverage.


翻译:安全扫描器在真实代码上的表现如何?我们提出RealVuln,这是首个公开的基准测评,在26个故意包含漏洞的Python仓库(包括教学和夺旗类应用)中,对基于规则的静态应用安全测试(SAST)、通用大语言模型(LLM)和安全专用扫描器进行了对比。该数据集包含796条手工标注条目(676个漏洞,120个假阳性陷阱)。我们测试了15款扫描器(3款基于规则的SAST、10款通用大语言模型、2款安全专用扫描器),并以F3分数(beta=3,召回率权重为精确率的9倍)进行排序。在所有指标下,均呈现出清晰的三个层级排名。在F3指标下,安全专用扫描器Kolega.Dev(73.0)领先,其次是表现最佳的通用大语言模型Claude Sonnet 4.6(51.7),其得分约为最佳基于规则工具Semgrep(17.7)的3倍。在F1指标下,Sonnet 4.6领先(60.9),Kolega.Dev为52.4。层级内部的排名随beta值变化,但三层级结构在所有权重设置下均保持稳定。所有代码、真实标注数据、扫描器输出结果及评分脚本均以开源许可证发布。交互式仪表盘位于https://realvuln.kolega.dev/。RealVuln是一个持续更新的基准:采用版本化、社区驱动的方式,并规划了向多语言覆盖扩展的路线图。
0
下载
关闭预览

相关内容

《ARMOR 2025:一个面向军事领域的基准,用于评估大语言模型安全性》
《ARMOR 2025:一个面向军事领域的基准,用于评估大语言模型安全性》
专知会员服务
16+阅读 · 5月7日
【ICML2025】层级对齐:在视觉语言模型中检验图像编码器层的安全对齐
【ICML2025】层级对齐:在视觉语言模型中检验图像编码器层的安全对齐
专知会员服务
7+阅读 · 2025年5月2日
ACM Computing Surveys | 港大等基于可靠性视角的深度伪造检测综述,覆盖主流基准库、模型
ACM Computing Surveys | 港大等基于可靠性视角的深度伪造检测综述,覆盖主流基准库、模型
专知会员服务
17+阅读 · 2025年1月12日
大型语言模型网络安全综述
大型语言模型网络安全综述
专知会员服务
68+阅读 · 2024年5月12日
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
专知会员服务
49+阅读 · 2024年1月17日
大模型时代怎么做假新闻检测?康奈尔大学等最新《适应大规模语言模型时代的假新闻检测》详细阐述大模型下假新闻检测方式
大模型时代怎么做假新闻检测?康奈尔大学等最新《适应大规模语言模型时代的假新闻检测》详细阐述大模型下假新闻检测方式
专知会员服务
46+阅读 · 2023年11月19日
《深度伪造检测模型的准确性和鲁棒性》2023最新论文
《深度伪造检测模型的准确性和鲁棒性》2023最新论文
专知会员服务
41+阅读 · 2023年10月29日
大模型如何处理事实?西湖大学等最新《大型语言模型中的事实性研究》综述,详述: LLM的知识、检索与领域特异性
大模型如何处理事实?西湖大学等最新《大型语言模型中的事实性研究》综述,详述: LLM的知识、检索与领域特异性
专知会员服务
47+阅读 · 2023年10月12日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
91+阅读 · 2022年4月17日
《人工智能安全测评白皮书》,99页pdf
《人工智能安全测评白皮书》,99页pdf
专知
36+阅读 · 2022年2月26日
YOLOv5在建筑工地中安全帽佩戴检测的应用(已开源+数据集)
YOLOv5在建筑工地中安全帽佩戴检测的应用(已开源+数据集)
计算机视觉life
24+阅读 · 2020年11月10日
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
专知
12+阅读 · 2020年2月12日
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
专知
79+阅读 · 2019年4月24日
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
AI研习社
10+阅读 · 2019年3月18日
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
新智元
12+阅读 · 2018年7月13日
FaceForensics:一个用于人脸伪造检测的大型视频数据集
FaceForensics:一个用于人脸伪造检测的大型视频数据集
论智
18+阅读 · 2018年4月14日
动手写机器学习算法:异常检测 Anomaly Detection
动手写机器学习算法:异常检测 Anomaly Detection
七月在线实验室
11+阅读 · 2017年12月8日
教程 | 深度学习 + OpenCV,Python实现实时视频目标检测
教程 | 深度学习 + OpenCV,Python实现实时视频目标检测
机器之心
18+阅读 · 2017年9月21日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于量子模糊承诺体系的生物身份认证系统研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
广义双随机相位编码系统中以QR码为载体的信息加密及无损恢复
国家自然科学基金
0+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
无线传感器网络中高效的虚假数据过滤方法研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于Wyner-Ziv分布式编码的无线视频通信端到端失真度估算
国家自然科学基金
0+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
FinSafetyBench: Evaluating LLM Safety in Real-World Financial Scenarios
Arxiv
0+阅读 · 5月1日
Cyber Defense Benchmark: Agentic Threat Hunting Evaluation for LLMs in SecOps
Arxiv
0+阅读 · 4月23日
Cyber Defense Benchmark: Agentic Threat Hunting Evaluation for LLMs in SecOps
Arxiv
0+阅读 · 4月22日
False Security Confidence in Benign LLM Code Generation
Arxiv
0+阅读 · 4月21日
VulnScout-C: A Lightweight Transformer for C Code Vulnerability Detection
Arxiv
0+阅读 · 3月30日
VulInstruct: Teaching LLMs Root-Cause Reasoning for Vulnerability Detection via Security Specifications
Arxiv
0+阅读 · 3月28日
ClawTrap: A MITM-Based Red-Teaming Framework for Real-World OpenClaw Security Evaluation
Arxiv
0+阅读 · 3月19日
QLCoder: A Query Synthesizer For Static Analysis of Security Vulnerabilities
Arxiv
0+阅读 · 3月19日
CTI-REALM: Benchmark to Evaluate Agent Performance on Security Detection Rule Generation Capabilities
Arxiv
0+阅读 · 3月17日
vEcho: A Paradigm Shift from Vulnerability Verification to Proactive Discovery with Large Language Models
Arxiv
0+阅读 · 3月4日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
最新内容
“史诗怒火”行动中的无人机与反无人机作战
“史诗怒火”行动中的无人机与反无人机作战
专知会员服务
10+阅读 · 5月25日
《北约城市作战高级训练技术(UCATT)实况模拟标准2》176页报告
《北约城市作战高级训练技术(UCATT)实况模拟标准2》176页报告
专知会员服务
4+阅读 · 5月25日
[ICML26] 破局长视频理解!快手推出统一框架实现视频定位与深度理解,多项基准测试性能全面提升
[ICML26] 破局长视频理解!快手推出统一框架实现视频定位与深度理解,多项基准测试性能全面提升
专知会员服务
4+阅读 · 5月24日
Claw AI Lab:从自动写论文到交互式AI研究实验室
Claw AI Lab:从自动写论文到交互式AI研究实验室
专知会员服务
7+阅读 · 5月24日
美军“沙赫德-136”自杀式无人机仿制型号将获得集群能力
美军“沙赫德-136”自杀式无人机仿制型号将获得集群能力
专知会员服务
12+阅读 · 5月24日
【ICML 2026】MotiMotion:用视觉推理增强运动可控视频生成
【ICML 2026】MotiMotion:用视觉推理增强运动可控视频生成
专知会员服务
5+阅读 · 5月23日
AI能预测科学突破吗?CUSP基准揭示前沿模型能力边界
AI能预测科学突破吗?CUSP基准揭示前沿模型能力边界
专知会员服务
8+阅读 · 5月23日
美以伊冲突中的无人机反防空作战
美以伊冲突中的无人机反防空作战
专知会员服务
9+阅读 · 5月23日
【ICML 2026】面向视野外操作的VLA空间记忆框架SOMA
【ICML 2026】面向视野外操作的VLA空间记忆框架SOMA
专知会员服务
7+阅读 · 5月22日
【综述】大语言模型驱动的多模态情感识别综述:挑战、分类与未来方向
【综述】大语言模型驱动的多模态情感识别综述:挑战、分类与未来方向
专知会员服务
9+阅读 · 5月22日
安杜里尔与Meta研发军用智能眼镜的内幕
安杜里尔与Meta研发军用智能眼镜的内幕
专知会员服务
7+阅读 · 5月22日
《GPS拒止环境中的网络化赋能目标锁定》总结报告
《GPS拒止环境中的网络化赋能目标锁定》总结报告
专知会员服务
10+阅读 · 5月22日
超越步调威胁:整合人工智能以加速指挥决策
超越步调威胁:整合人工智能以加速指挥决策
专知会员服务
15+阅读 · 5月22日
连接供应链与杀伤链:Palantir 保障与对抗性后勤解决方案
连接供应链与杀伤链:Palantir 保障与对抗性后勤解决方案
专知会员服务
13+阅读 · 5月22日
Nature三连发AI自主科学发现论文
Nature三连发AI自主科学发现论文
专知会员服务
9+阅读 · 5月21日
相关VIP内容
《ARMOR 2025:一个面向军事领域的基准,用于评估大语言模型安全性》
《ARMOR 2025:一个面向军事领域的基准,用于评估大语言模型安全性》
专知会员服务
16+阅读 · 5月7日
【ICML2025】层级对齐:在视觉语言模型中检验图像编码器层的安全对齐
【ICML2025】层级对齐:在视觉语言模型中检验图像编码器层的安全对齐
专知会员服务
7+阅读 · 2025年5月2日
ACM Computing Surveys | 港大等基于可靠性视角的深度伪造检测综述,覆盖主流基准库、模型
ACM Computing Surveys | 港大等基于可靠性视角的深度伪造检测综述,覆盖主流基准库、模型
专知会员服务
17+阅读 · 2025年1月12日
大型语言模型网络安全综述
大型语言模型网络安全综述
专知会员服务
68+阅读 · 2024年5月12日
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
专知会员服务
49+阅读 · 2024年1月17日
大模型时代怎么做假新闻检测?康奈尔大学等最新《适应大规模语言模型时代的假新闻检测》详细阐述大模型下假新闻检测方式
大模型时代怎么做假新闻检测?康奈尔大学等最新《适应大规模语言模型时代的假新闻检测》详细阐述大模型下假新闻检测方式
专知会员服务
46+阅读 · 2023年11月19日
《深度伪造检测模型的准确性和鲁棒性》2023最新论文
《深度伪造检测模型的准确性和鲁棒性》2023最新论文
专知会员服务
41+阅读 · 2023年10月29日
大模型如何处理事实?西湖大学等最新《大型语言模型中的事实性研究》综述,详述: LLM的知识、检索与领域特异性
大模型如何处理事实?西湖大学等最新《大型语言模型中的事实性研究》综述,详述: LLM的知识、检索与领域特异性
专知会员服务
47+阅读 · 2023年10月12日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
热门VIP内容
相关资讯
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
91+阅读 · 2022年4月17日
《人工智能安全测评白皮书》,99页pdf
《人工智能安全测评白皮书》,99页pdf
专知
36+阅读 · 2022年2月26日
YOLOv5在建筑工地中安全帽佩戴检测的应用(已开源+数据集)
YOLOv5在建筑工地中安全帽佩戴检测的应用(已开源+数据集)
计算机视觉life
24+阅读 · 2020年11月10日
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
专知
12+阅读 · 2020年2月12日
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
专知
79+阅读 · 2019年4月24日
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
AI研习社
10+阅读 · 2019年3月18日
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
新智元
12+阅读 · 2018年7月13日
FaceForensics:一个用于人脸伪造检测的大型视频数据集
FaceForensics:一个用于人脸伪造检测的大型视频数据集
论智
18+阅读 · 2018年4月14日
动手写机器学习算法:异常检测 Anomaly Detection
动手写机器学习算法:异常检测 Anomaly Detection
七月在线实验室
11+阅读 · 2017年12月8日
教程 | 深度学习 + OpenCV,Python实现实时视频目标检测
教程 | 深度学习 + OpenCV,Python实现实时视频目标检测
机器之心
18+阅读 · 2017年9月21日
相关论文
FinSafetyBench: Evaluating LLM Safety in Real-World Financial Scenarios
Arxiv
0+阅读 · 5月1日
Cyber Defense Benchmark: Agentic Threat Hunting Evaluation for LLMs in SecOps
Arxiv
0+阅读 · 4月23日
Cyber Defense Benchmark: Agentic Threat Hunting Evaluation for LLMs in SecOps
Arxiv
0+阅读 · 4月22日
False Security Confidence in Benign LLM Code Generation
Arxiv
0+阅读 · 4月21日
VulnScout-C: A Lightweight Transformer for C Code Vulnerability Detection
Arxiv
0+阅读 · 3月30日
VulInstruct: Teaching LLMs Root-Cause Reasoning for Vulnerability Detection via Security Specifications
Arxiv
0+阅读 · 3月28日
ClawTrap: A MITM-Based Red-Teaming Framework for Real-World OpenClaw Security Evaluation
Arxiv
0+阅读 · 3月19日
QLCoder: A Query Synthesizer For Static Analysis of Security Vulnerabilities
Arxiv
0+阅读 · 3月19日
CTI-REALM: Benchmark to Evaluate Agent Performance on Security Detection Rule Generation Capabilities
Arxiv
0+阅读 · 3月17日
vEcho: A Paradigm Shift from Vulnerability Verification to Proactive Discovery with Large Language Models
Arxiv
0+阅读 · 3月4日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于量子模糊承诺体系的生物身份认证系统研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
广义双随机相位编码系统中以QR码为载体的信息加密及无损恢复
国家自然科学基金
0+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
无线传感器网络中高效的虚假数据过滤方法研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于Wyner-Ziv分布式编码的无线视频通信端到端失真度估算
国家自然科学基金
0+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top