会员服务
语言模型 · 代码 · 漏洞检测 · GPT-4 · 实证研究 ·
2 月 17 日
Large Language Models for Secure Code Assessment: A Multi-Language Empirical Study
翻译:大语言模型用于安全代码评估:一项多语言实证研究
Kohei Dozono,Tiago Espinha Gasiba,Andrea Stocco
Kohei Dozono,Tiago Espinha Gasiba,Andrea Stocco
from arxiv, Accepted for publication at the 7th International Workshop on Deep Learning for Testing and Testing for Deep Learning (DeepTest 2026), co-located with ICSE 2026

Most vulnerability detection studies focus on datasets of vulnerabilities in C/C++ code, offering limited language diversity. Thus, the effectiveness of deep learning methods, including large language models (LLMs), in detecting software vulnerabilities beyond these languages is still largely unexplored. In this paper, we evaluate the effectiveness of LLMs in detecting and classifying Common Weakness Enumerations (CWE) using different prompt and role strategies. Our experimental study targets six state-of-the-art pre-trained LLMs (GPT-3.5- Turbo, GPT-4 Turbo, GPT-4o, CodeLLama-7B, CodeLLama- 13B, and Gemini 1.5 Pro) and five programming languages: Python, C, C++, Java, and JavaScript. We compiled a multi-language vulnerability dataset from different sources, to ensure representativeness. Our results showed that GPT-4o achieves the highest vulnerability detection and CWE classification scores using a few-shot setting. Aside from the quantitative results of our study, we developed a library called CODEGUARDIAN integrated with VSCode which enables developers to perform LLM-assisted real-time vulnerability analysis in real-world security scenarios. We have evaluated CODEGUARDIAN with a user study involving 22 developers from the industry. Our study showed that, by using CODEGUARDIAN, developers are more accurate and faster at detecting vulnerabilities.


翻译:多数漏洞检测研究集中于C/C++代码漏洞数据集,语言多样性有限。因此,深度学习(包括大语言模型)在检测这些语言之外的软件漏洞方面的有效性仍很大程度上未被探索。本文通过不同提示与角色策略,评估了大语言模型在检测与分类通用缺陷枚举(CWE)方面的有效性。我们的实验研究针对六种最先进的预训练大语言模型(GPT-3.5-Turbo、GPT-4 Turbo、GPT-4o、CodeLLama-7B、CodeLLama-13B和Gemini 1.5 Pro)以及五种编程语言:Python、C、C++、Java和JavaScript。我们从不同来源汇编了一个多语言漏洞数据集,以确保代表性。结果表明,在少样本设置下,GPT-4o取得了最高的漏洞检测与CWE分类分数。除定量研究结果外,我们还开发了一个名为CODEGUARDIAN的库,该库与VSCode集成,使开发者能够在实际安全场景中执行大语言模型辅助的实时漏洞分析。我们通过一项涉及22名行业开发者的用户研究对CODEGUARDIAN进行了评估。研究表明,使用CODEGUARDIAN后,开发者在漏洞检测方面更准确、更快速。
0
下载
关闭预览

相关内容

大语言模型在序列推荐中的应用
大语言模型在序列推荐中的应用
专知会员服务
19+阅读 · 2024年11月12日
大语言模型评估技术研究进展
大语言模型评估技术研究进展
专知会员服务
48+阅读 · 2024年7月9日
大型语言模型网络安全综述
大型语言模型网络安全综述
专知会员服务
67+阅读 · 2024年5月12日
多语言大型语言模型:资源、分类和前沿综述
多语言大型语言模型:资源、分类和前沿综述
专知会员服务
53+阅读 · 2024年4月9日
大型语言模型在预测和异常检测中的应用综述
大型语言模型在预测和异常检测中的应用综述
专知会员服务
70+阅读 · 2024年2月19日
【博士论文】负责任大型语言模型:安全性、公平性、可信性,142页pdf
【博士论文】负责任大型语言模型:安全性、公平性、可信性,142页pdf
专知会员服务
34+阅读 · 2024年1月26日
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
专知会员服务
49+阅读 · 2024年1月17日
大语言模型安全现状与挑战
大语言模型安全现状与挑战
专知会员服务
87+阅读 · 2024年1月14日
如何评估大模型?吉大微软亚研等最新《大型语言模型评估》综述,全面阐述大模型评估方法体系
如何评估大模型?吉大微软亚研等最新《大型语言模型评估》综述,全面阐述大模型评估方法体系
专知会员服务
88+阅读 · 2023年7月13日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
ChatGPT大模型如何做科学研究? CMU提出《大模型智能体系统》,高推理展现出大型语言模型的新兴自主科学研究能力
ChatGPT大模型如何做科学研究? CMU提出《大模型智能体系统》,高推理展现出大型语言模型的新兴自主科学研究能力
专知
17+阅读 · 2023年4月12日
ChatGPT背后大模型如何高效训练?京东探索研究院等最新《大规模深度学习模型高效训练研究》综述,60页pdf详述五大类训练方法
ChatGPT背后大模型如何高效训练?京东探索研究院等最新《大规模深度学习模型高效训练研究》综述,60页pdf详述五大类训练方法
专知
29+阅读 · 2023年4月11日
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
专知
25+阅读 · 2023年4月4日
「知识增强预训练语言模型」最新研究综述
「知识增强预训练语言模型」最新研究综述
专知
18+阅读 · 2022年11月18日
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
专知
12+阅读 · 2020年2月12日
BAM!利用知识蒸馏和多任务学习构建的通用语言模型
BAM!利用知识蒸馏和多任务学习构建的通用语言模型
机器之心
15+阅读 · 2019年3月18日
最新49页《深度学习异常检测综述》论文,带你全面了解深度学习异常检测方法
最新49页《深度学习异常检测综述》论文,带你全面了解深度学习异常检测方法
专知
137+阅读 · 2019年1月14日
自然语言处理中的语言模型预训练方法
自然语言处理中的语言模型预训练方法
PaperWeekly
14+阅读 · 2018年10月21日
NLP通用模型诞生?一个模型搞定十大自然语言常见任务
NLP通用模型诞生?一个模型搞定十大自然语言常见任务
人工智能头条
10+阅读 · 2018年6月29日
推荐|机器学习中的模型评价、模型选择和算法选择!
推荐|机器学习中的模型评价、模型选择和算法选择!
全球人工智能
10+阅读 · 2018年2月5日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
语义Web知识库补全关键技术研究
国家自然科学基金
18+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
面向异构数据库的查询语言设计及其基础理论研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于深度学习的三维模型检索技术
国家自然科学基金
13+阅读 · 2014年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
SecCodePRM: A Process Reward Model for Code Security
Arxiv
0+阅读 · 2月11日
Can LLMs Find Bugs in Code? An Evaluation from Beginner Errors to Security Vulnerabilities in Python and C++
Arxiv
0+阅读 · 2月9日
Evaluating and Enhancing the Vulnerability Reasoning Capabilities of Large Language Models
Arxiv
0+阅读 · 2月6日
Comprehensive Evaluation of Large Language Models on Software Engineering Tasks: A Multi-Task Benchmark
Arxiv
0+阅读 · 2月6日
Evaluating Code Reasoning Abilities of Large Language Models Under Real-World Settings
Arxiv
0+阅读 · 2月4日
Risk Assessment and Security Analysis of Large Language Models
Arxiv
0+阅读 · 2月4日
Information Security Based on LLM Approaches: A Review
Arxiv
0+阅读 · 2月1日
Evaluating Large Language Models for Security Bug Report Prediction
Arxiv
0+阅读 · 1月30日
Efficient Code Analysis via Graph-Guided Large Language Models
Arxiv
0+阅读 · 1月22日
Evaluating Large Language Models for Time Series Anomaly Detection in Aerospace Software
Arxiv
0+阅读 · 1月18日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
语言模型
代码
漏洞检测
GPT-4
实证研究
相关VIP内容
大语言模型在序列推荐中的应用
大语言模型在序列推荐中的应用
专知会员服务
19+阅读 · 2024年11月12日
大语言模型评估技术研究进展
大语言模型评估技术研究进展
专知会员服务
48+阅读 · 2024年7月9日
大型语言模型网络安全综述
大型语言模型网络安全综述
专知会员服务
67+阅读 · 2024年5月12日
多语言大型语言模型:资源、分类和前沿综述
多语言大型语言模型:资源、分类和前沿综述
专知会员服务
53+阅读 · 2024年4月9日
大型语言模型在预测和异常检测中的应用综述
大型语言模型在预测和异常检测中的应用综述
专知会员服务
70+阅读 · 2024年2月19日
【博士论文】负责任大型语言模型:安全性、公平性、可信性,142页pdf
【博士论文】负责任大型语言模型:安全性、公平性、可信性,142页pdf
专知会员服务
34+阅读 · 2024年1月26日
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
专知会员服务
49+阅读 · 2024年1月17日
大语言模型安全现状与挑战
大语言模型安全现状与挑战
专知会员服务
87+阅读 · 2024年1月14日
如何评估大模型?吉大微软亚研等最新《大型语言模型评估》综述,全面阐述大模型评估方法体系
如何评估大模型?吉大微软亚研等最新《大型语言模型评估》综述,全面阐述大模型评估方法体系
专知会员服务
88+阅读 · 2023年7月13日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
热门VIP内容
相关资讯
ChatGPT大模型如何做科学研究? CMU提出《大模型智能体系统》,高推理展现出大型语言模型的新兴自主科学研究能力
ChatGPT大模型如何做科学研究? CMU提出《大模型智能体系统》,高推理展现出大型语言模型的新兴自主科学研究能力
专知
17+阅读 · 2023年4月12日
ChatGPT背后大模型如何高效训练?京东探索研究院等最新《大规模深度学习模型高效训练研究》综述,60页pdf详述五大类训练方法
ChatGPT背后大模型如何高效训练?京东探索研究院等最新《大规模深度学习模型高效训练研究》综述,60页pdf详述五大类训练方法
专知
29+阅读 · 2023年4月11日
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
专知
25+阅读 · 2023年4月4日
「知识增强预训练语言模型」最新研究综述
「知识增强预训练语言模型」最新研究综述
专知
18+阅读 · 2022年11月18日
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
专知
12+阅读 · 2020年2月12日
BAM!利用知识蒸馏和多任务学习构建的通用语言模型
BAM!利用知识蒸馏和多任务学习构建的通用语言模型
机器之心
15+阅读 · 2019年3月18日
最新49页《深度学习异常检测综述》论文,带你全面了解深度学习异常检测方法
最新49页《深度学习异常检测综述》论文,带你全面了解深度学习异常检测方法
专知
137+阅读 · 2019年1月14日
自然语言处理中的语言模型预训练方法
自然语言处理中的语言模型预训练方法
PaperWeekly
14+阅读 · 2018年10月21日
NLP通用模型诞生?一个模型搞定十大自然语言常见任务
NLP通用模型诞生?一个模型搞定十大自然语言常见任务
人工智能头条
10+阅读 · 2018年6月29日
推荐|机器学习中的模型评价、模型选择和算法选择!
推荐|机器学习中的模型评价、模型选择和算法选择!
全球人工智能
10+阅读 · 2018年2月5日
相关论文
SecCodePRM: A Process Reward Model for Code Security
Arxiv
0+阅读 · 2月11日
Can LLMs Find Bugs in Code? An Evaluation from Beginner Errors to Security Vulnerabilities in Python and C++
Arxiv
0+阅读 · 2月9日
Evaluating and Enhancing the Vulnerability Reasoning Capabilities of Large Language Models
Arxiv
0+阅读 · 2月6日
Comprehensive Evaluation of Large Language Models on Software Engineering Tasks: A Multi-Task Benchmark
Arxiv
0+阅读 · 2月6日
Evaluating Code Reasoning Abilities of Large Language Models Under Real-World Settings
Arxiv
0+阅读 · 2月4日
Risk Assessment and Security Analysis of Large Language Models
Arxiv
0+阅读 · 2月4日
Information Security Based on LLM Approaches: A Review
Arxiv
0+阅读 · 2月1日
Evaluating Large Language Models for Security Bug Report Prediction
Arxiv
0+阅读 · 1月30日
Efficient Code Analysis via Graph-Guided Large Language Models
Arxiv
0+阅读 · 1月22日
Evaluating Large Language Models for Time Series Anomaly Detection in Aerospace Software
Arxiv
0+阅读 · 1月18日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
语义Web知识库补全关键技术研究
国家自然科学基金
18+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
面向异构数据库的查询语言设计及其基础理论研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于深度学习的三维模型检索技术
国家自然科学基金
13+阅读 · 2014年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top