会员服务
代码 · 分析 · 静态分析 · 漏洞检测 · 样本 ·
2 月 5 日
Persistent Human Feedback, LLMs, and Static Analyzers for Secure Code Generation and Vulnerability Detection
翻译:持久化人类反馈、LLM与静态分析器在安全代码生成与漏洞检测中的应用
Ehsan Firouzi,Mohammad Ghafari
Ehsan Firouzi,Mohammad Ghafari

Existing literature heavily relies on static analysis tools to evaluate LLMs for secure code generation and vulnerability detection. We reviewed 1,080 LLM-generated code samples, built a human-validated ground-truth, and compared the outputs of two widely used static security tools, CodeQL and Semgrep, against this corpus. While 61% of the samples were genuinely secure, Semgrep and CodeQL classified 60% and 80% as secure, respectively. Despite the apparent agreement in aggregate statistics, per-sample analysis reveals substantial discrepancies: only 65% of Semgrep's and 61% of CodeQL's reports correctly matched the ground truth. These results question the reliability of static analysis tools as sole evaluators of code security and underscore the need for expert feedback. Building on this insight, we propose a conceptual framework that persistently stores human feedback in a dynamic retrieval-augmented generation pipeline, enabling LLMs to reuse past feedback for secure code generation and vulnerability detection.


翻译:现有文献严重依赖静态分析工具来评估LLM在安全代码生成与漏洞检测方面的性能。本研究审查了1,080个LLM生成的代码样本,构建了经人工验证的基准真值,并将两种广泛使用的静态安全工具(CodeQL与Semgrep)的输出结果与该语料库进行对比。虽然61%的样本确实安全,但Semgrep和CodeQL分别将60%和80%的样本归类为安全。尽管聚合统计数据呈现表面一致性,但逐样本分析揭示了显著差异:Semgrep仅65%、CodeQL仅61%的检测报告与基准真值准确匹配。这些结果对静态分析工具作为代码安全性唯一评估指标的可靠性提出质疑,并凸显了专家反馈的必要性。基于此发现,我们提出一个概念框架,将人类反馈持久存储在动态检索增强生成流程中,使LLM能够复用历史反馈以提升安全代码生成与漏洞检测能力。
0
下载
关闭预览

相关内容

代码(Code)是专知网的一个重要知识资料文档板块,旨在整理收录论文源代码、复现代码,经典工程代码等,便于用户查阅下载使用。
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
专知会员服务
9+阅读 · 2025年9月3日
《生成式人工智能与大/小语言模型在供应链管理决策优化与可持续性提升中的作用评估》最新51页
《生成式人工智能与大/小语言模型在供应链管理决策优化与可持续性提升中的作用评估》最新51页
专知会员服务
26+阅读 · 2025年7月26日
人工智能驱动的自动程序修复与代码生成的技术与进展全面综述
人工智能驱动的自动程序修复与代码生成的技术与进展全面综述
专知会员服务
25+阅读 · 2024年11月15日
【书籍】检索增强生成(RAG)在大规模语言模型(LLM)应用中的应用
【书籍】检索增强生成(RAG)在大规模语言模型(LLM)应用中的应用
专知会员服务
70+阅读 · 2024年10月7日
揭示生成式人工智能 / 大型语言模型(LLMs)的军事潜力
揭示生成式人工智能 / 大型语言模型(LLMs)的军事潜力
专知会员服务
31+阅读 · 2024年9月26日
生成式人工智能大型语言模型的安全性:概述
生成式人工智能大型语言模型的安全性:概述
专知会员服务
35+阅读 · 2024年7月30日
首发!《大语言生成式人工智能和国土安全项目应用》美军2024最新359页
首发!《大语言生成式人工智能和国土安全项目应用》美军2024最新359页
专知会员服务
60+阅读 · 2024年5月23日
《美国防部对人工智能和 LLM 编写评估因素的信心与偏见》2024最新275页论文
《美国防部对人工智能和 LLM 编写评估因素的信心与偏见》2024最新275页论文
专知会员服务
63+阅读 · 2024年3月4日
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
专知会员服务
110+阅读 · 2023年12月19日
如何检测LLM内容?UCSB等最新首篇《LLM生成内容检测》综述
如何检测LLM内容?UCSB等最新首篇《LLM生成内容检测》综述
专知会员服务
49+阅读 · 2023年10月29日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
文本生成公开数据集/开源工具/经典论文详细列表分享
文本生成公开数据集/开源工具/经典论文详细列表分享
深度学习与NLP
30+阅读 · 2019年9月22日
人脸相关文献代码集锦:人脸检测、人脸识别、人脸生成等
人脸相关文献代码集锦:人脸检测、人脸识别、人脸生成等
专知
15+阅读 · 2019年5月20日
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
AI研习社
10+阅读 · 2019年3月18日
NLP-Progress记录NLP最新数据集、论文和代码: 助你紧跟NLP前沿
NLP-Progress记录NLP最新数据集、论文和代码: 助你紧跟NLP前沿
中国人工智能学会
12+阅读 · 2018年11月15日
深度学习文本分类方法综述(代码)
深度学习文本分类方法综述(代码)
中国人工智能学会
28+阅读 · 2018年6月16日
【论文推荐】最新十二篇情感分析相关论文—自然语言推理框架、网络事件、多任务学习、实时情感变化检测、多因素分析、深度语境词表示
【论文推荐】最新十二篇情感分析相关论文—自然语言推理框架、网络事件、多任务学习、实时情感变化检测、多因素分析、深度语境词表示
专知
22+阅读 · 2018年5月7日
【论文推荐】最新六篇对抗自编码器相关论文—多尺度网络节点表示、生成对抗自编码、逆映射、Wasserstein、条件对抗、去噪
【论文推荐】最新六篇对抗自编码器相关论文—多尺度网络节点表示、生成对抗自编码、逆映射、Wasserstein、条件对抗、去噪
专知
20+阅读 · 2018年4月7日
【论文推荐】最新六篇情感分析相关论文—深度上下文、支持向量机、两级LSTM、多模态情感分析、软件工程、代码混合
【论文推荐】最新六篇情感分析相关论文—深度上下文、支持向量机、两级LSTM、多模态情感分析、软件工程、代码混合
专知
24+阅读 · 2018年3月31日
网络安全态势感知浅析
网络安全态势感知浅析
计算机与网络安全
18+阅读 · 2017年10月13日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
基于抽象语义切片和后向求精分析的静态分析警报自动确认研究
国家自然科学基金
1+阅读 · 2015年12月31日
公钥密码体制的格分析方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
几类密码方案的格分析优化技术
国家自然科学基金
1+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
Secure Coding with AI -- From Detection to Repair
Arxiv
0+阅读 · 2月17日
GoodVibe: Security-by-Vibe for LLM-Based Code Generation
Arxiv
0+阅读 · 2月11日
Secure Code Generation via Online Reinforcement Learning with Vulnerability Reward Model
Arxiv
0+阅读 · 2月7日
ProxyWar: Dynamic Assessment of LLM Code Generation in Game Arenas
Arxiv
0+阅读 · 2月4日
Code2Bench: Scaling Source and Rigor for Dynamic Benchmark Construction
Arxiv
0+阅读 · 2月3日
Sifting the Noise: A Comparative Study of LLM Agents in Vulnerability False Positive Filtering
Arxiv
0+阅读 · 1月30日
RealSec-bench: A Benchmark for Evaluating Secure Code Generation in Real-World Repositories
Arxiv
0+阅读 · 1月30日
LLM-based Vulnerability Detection at Project Scale: An Empirical Study
Arxiv
0+阅读 · 1月27日
Detecting and Correcting Hallucinations in LLM-Generated Code via Deterministic AST Analysis
Arxiv
0+阅读 · 1月27日
CodeContests-O: Powering LLMs via Feedback-Driven Iterative Test Case Generation
Arxiv
0+阅读 · 1月20日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
代码
分析
静态分析
漏洞检测
样本
相关VIP内容
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
专知会员服务
9+阅读 · 2025年9月3日
《生成式人工智能与大/小语言模型在供应链管理决策优化与可持续性提升中的作用评估》最新51页
《生成式人工智能与大/小语言模型在供应链管理决策优化与可持续性提升中的作用评估》最新51页
专知会员服务
26+阅读 · 2025年7月26日
人工智能驱动的自动程序修复与代码生成的技术与进展全面综述
人工智能驱动的自动程序修复与代码生成的技术与进展全面综述
专知会员服务
25+阅读 · 2024年11月15日
【书籍】检索增强生成(RAG)在大规模语言模型(LLM)应用中的应用
【书籍】检索增强生成(RAG)在大规模语言模型(LLM)应用中的应用
专知会员服务
70+阅读 · 2024年10月7日
揭示生成式人工智能 / 大型语言模型(LLMs)的军事潜力
揭示生成式人工智能 / 大型语言模型(LLMs)的军事潜力
专知会员服务
31+阅读 · 2024年9月26日
生成式人工智能大型语言模型的安全性:概述
生成式人工智能大型语言模型的安全性:概述
专知会员服务
35+阅读 · 2024年7月30日
首发!《大语言生成式人工智能和国土安全项目应用》美军2024最新359页
首发!《大语言生成式人工智能和国土安全项目应用》美军2024最新359页
专知会员服务
60+阅读 · 2024年5月23日
《美国防部对人工智能和 LLM 编写评估因素的信心与偏见》2024最新275页论文
《美国防部对人工智能和 LLM 编写评估因素的信心与偏见》2024最新275页论文
专知会员服务
63+阅读 · 2024年3月4日
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
专知会员服务
110+阅读 · 2023年12月19日
如何检测LLM内容?UCSB等最新首篇《LLM生成内容检测》综述
如何检测LLM内容?UCSB等最新首篇《LLM生成内容检测》综述
专知会员服务
49+阅读 · 2023年10月29日
热门VIP内容
相关资讯
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
文本生成公开数据集/开源工具/经典论文详细列表分享
文本生成公开数据集/开源工具/经典论文详细列表分享
深度学习与NLP
30+阅读 · 2019年9月22日
人脸相关文献代码集锦:人脸检测、人脸识别、人脸生成等
人脸相关文献代码集锦:人脸检测、人脸识别、人脸生成等
专知
15+阅读 · 2019年5月20日
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
Github项目推荐 | 比快更快!速度超越OpenCV的人脸检测库 libfacedetection 开源!
AI研习社
10+阅读 · 2019年3月18日
NLP-Progress记录NLP最新数据集、论文和代码: 助你紧跟NLP前沿
NLP-Progress记录NLP最新数据集、论文和代码: 助你紧跟NLP前沿
中国人工智能学会
12+阅读 · 2018年11月15日
深度学习文本分类方法综述(代码)
深度学习文本分类方法综述(代码)
中国人工智能学会
28+阅读 · 2018年6月16日
【论文推荐】最新十二篇情感分析相关论文—自然语言推理框架、网络事件、多任务学习、实时情感变化检测、多因素分析、深度语境词表示
【论文推荐】最新十二篇情感分析相关论文—自然语言推理框架、网络事件、多任务学习、实时情感变化检测、多因素分析、深度语境词表示
专知
22+阅读 · 2018年5月7日
【论文推荐】最新六篇对抗自编码器相关论文—多尺度网络节点表示、生成对抗自编码、逆映射、Wasserstein、条件对抗、去噪
【论文推荐】最新六篇对抗自编码器相关论文—多尺度网络节点表示、生成对抗自编码、逆映射、Wasserstein、条件对抗、去噪
专知
20+阅读 · 2018年4月7日
【论文推荐】最新六篇情感分析相关论文—深度上下文、支持向量机、两级LSTM、多模态情感分析、软件工程、代码混合
【论文推荐】最新六篇情感分析相关论文—深度上下文、支持向量机、两级LSTM、多模态情感分析、软件工程、代码混合
专知
24+阅读 · 2018年3月31日
网络安全态势感知浅析
网络安全态势感知浅析
计算机与网络安全
18+阅读 · 2017年10月13日
相关论文
Secure Coding with AI -- From Detection to Repair
Arxiv
0+阅读 · 2月17日
GoodVibe: Security-by-Vibe for LLM-Based Code Generation
Arxiv
0+阅读 · 2月11日
Secure Code Generation via Online Reinforcement Learning with Vulnerability Reward Model
Arxiv
0+阅读 · 2月7日
ProxyWar: Dynamic Assessment of LLM Code Generation in Game Arenas
Arxiv
0+阅读 · 2月4日
Code2Bench: Scaling Source and Rigor for Dynamic Benchmark Construction
Arxiv
0+阅读 · 2月3日
Sifting the Noise: A Comparative Study of LLM Agents in Vulnerability False Positive Filtering
Arxiv
0+阅读 · 1月30日
RealSec-bench: A Benchmark for Evaluating Secure Code Generation in Real-World Repositories
Arxiv
0+阅读 · 1月30日
LLM-based Vulnerability Detection at Project Scale: An Empirical Study
Arxiv
0+阅读 · 1月27日
Detecting and Correcting Hallucinations in LLM-Generated Code via Deterministic AST Analysis
Arxiv
0+阅读 · 1月27日
CodeContests-O: Powering LLMs via Feedback-Driven Iterative Test Case Generation
Arxiv
0+阅读 · 1月20日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
基于抽象语义切片和后向求精分析的静态分析警报自动确认研究
国家自然科学基金
1+阅读 · 2015年12月31日
公钥密码体制的格分析方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
几类密码方案的格分析优化技术
国家自然科学基金
1+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top