会员服务
漏洞检测 · 代码 · 系统 · 智能体系统 · 智能体 ·
1 月 1 日
An Empirical Evaluation of LLM-Based Approaches for Code Vulnerability Detection: RAG, SFT, and Dual-Agent Systems
翻译:基于LLM的代码漏洞检测方法实证评估:RAG、SFT与双智能体系统
Md Hasan Saju,Maher Muhtadi,Akramul Azim
Md Hasan Saju,Maher Muhtadi,Akramul Azim

The rapid advancement of Large Language Models (LLMs) presents new opportunities for automated software vulnerability detection, a crucial task in securing modern codebases. This paper presents a comparative study on the effectiveness of LLM-based techniques for detecting software vulnerabilities. The study evaluates three approaches, Retrieval-Augmented Generation (RAG), Supervised Fine-Tuning (SFT), and a Dual-Agent LLM framework, against a baseline LLM model. A curated dataset was compiled from Big-Vul and real-world code repositories from GitHub, focusing on five critical Common Weakness Enumeration (CWE) categories: CWE-119, CWE-399, CWE-264, CWE-20, and CWE-200. Our RAG approach, which integrated external domain knowledge from the internet and the MITRE CWE database, achieved the highest overall accuracy (0.86) and F1 score (0.85), highlighting the value of contextual augmentation. Our SFT approach, implemented using parameter-efficient QLoRA adapters, also demonstrated strong performance. Our Dual-Agent system, an architecture in which a secondary agent audits and refines the output of the first, showed promise in improving reasoning transparency and error mitigation, with reduced resource overhead. These results emphasize that incorporating a domain expertise mechanism significantly strengthens the practical applicability of LLMs in real-world vulnerability detection tasks.


翻译:大型语言模型(LLM)的快速发展为自动化软件漏洞检测带来了新的机遇,这是保障现代代码库安全的关键任务。本文对基于LLM的软件漏洞检测技术效果进行了比较研究。该研究评估了三种方法——检索增强生成(RAG)、监督微调(SFT)以及双智能体LLM框架,并以一个基线LLM模型作为对照。研究数据集精选自Big-Vul和GitHub的真实代码仓库,重点关注五个关键的通用缺陷枚举(CWE)类别:CWE-119、CWE-399、CWE-264、CWE-20和CWE-200。我们的RAG方法整合了来自互联网和MITRE CWE数据库的外部领域知识,取得了最高的总体准确率(0.86)和F1分数(0.85),凸显了上下文增强的价值。我们采用参数高效的QLoRA适配器实现的SFT方法也表现出色。我们的双智能体系统——一种由次级智能体审核并优化初级智能体输出的架构——在提升推理透明度和错误缓解方面展现出潜力,同时降低了资源开销。这些结果表明,融入领域专业知识机制能显著增强LLM在现实世界漏洞检测任务中的实际适用性。
0
下载
关闭预览

相关内容

LLM/智能体作为数据分析师:综述
LLM/智能体作为数据分析师:综述
专知会员服务
36+阅读 · 2025年9月30日
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
专知会员服务
10+阅读 · 2025年9月3日
基于大语言模型(LLM)的智能体推理框架:从方法到场景的综述
基于大语言模型(LLM)的智能体推理框架:从方法到场景的综述
专知会员服务
52+阅读 · 2025年8月26日
大型语言模型(LLM)智能体全栈安全的综述:数据、训练与部署
大型语言模型(LLM)智能体全栈安全的综述:数据、训练与部署
专知会员服务
32+阅读 · 2025年4月23日
可信赖LLM智能体的研究综述:威胁与应对措施
可信赖LLM智能体的研究综述:威胁与应对措施
专知会员服务
36+阅读 · 2025年3月17日
【书籍】检索增强生成(RAG)在大规模语言模型(LLM)应用中的应用
【书籍】检索增强生成(RAG)在大规模语言模型(LLM)应用中的应用
专知会员服务
71+阅读 · 2024年10月7日
【ICLR2024】能检测到LLM产生的错误信息吗?
【ICLR2024】能检测到LLM产生的错误信息吗?
专知会员服务
25+阅读 · 2024年1月23日
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
专知会员服务
111+阅读 · 2023年12月19日
如何检测LLM内容?UCSB等最新首篇《LLM生成内容检测》综述
如何检测LLM内容?UCSB等最新首篇《LLM生成内容检测》综述
专知会员服务
49+阅读 · 2023年10月29日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
ChatGPT大模型如何做科学研究? CMU提出《大模型智能体系统》,高推理展现出大型语言模型的新兴自主科学研究能力
ChatGPT大模型如何做科学研究? CMU提出《大模型智能体系统》,高推理展现出大型语言模型的新兴自主科学研究能力
专知
17+阅读 · 2023年4月12日
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
专知
25+阅读 · 2023年4月4日
智能合约的形式化验证方法研究综述
智能合约的形式化验证方法研究综述
专知
16+阅读 · 2021年5月8日
最新必读【预训练语言模型(BERT/XLNet等)】论文,Google/微软/华为ICLR2020提交论文
最新必读【预训练语言模型(BERT/XLNet等)】论文,Google/微软/华为ICLR2020提交论文
专知
36+阅读 · 2019年9月29日
Xsser 一款自动检测XSS漏洞工具
Xsser 一款自动检测XSS漏洞工具
黑白之道
14+阅读 · 2019年8月26日
中科院自动化所提出 BIFT 模型:面向自然语言生成,同步双向推断
中科院自动化所提出 BIFT 模型:面向自然语言生成,同步双向推断
AI科技评论
12+阅读 · 2019年5月2日
博客 | 总结+paper分享|对话系统中的自然语言生成技术(NLG)
博客 | 总结+paper分享|对话系统中的自然语言生成技术(NLG)
AI研习社
16+阅读 · 2018年12月4日
NLG ≠ 机器写作 | 专家专栏
NLG ≠ 机器写作 | 专家专栏
量子位
13+阅读 · 2018年9月10日
用Rasa NLU构建自己的中文NLU系统
用Rasa NLU构建自己的中文NLU系统
待字闺中
18+阅读 · 2017年9月18日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
公钥密码体制的格分析方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
几类密码方案的格分析优化技术
国家自然科学基金
1+阅读 · 2015年12月31日
面向安全关键系统的时间可预测多核代码生成方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
广义双随机相位编码系统中以QR码为载体的信息加密及无损恢复
国家自然科学基金
0+阅读 · 2015年12月31日
大规模MIMO检测的理论性能分析和算法设计
国家自然科学基金
0+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于WEB信息的信息错误自动检测与修复技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
How to Trick Your AI TA: A Systematic Study of Academic Jailbreaking in LLM Code Evaluation
Arxiv
0+阅读 · 2月3日
Failure-Aware Enhancements for Large Language Model (LLM) Code Generation: An Empirical Study on Decision Framework
Arxiv
0+阅读 · 2月2日
The Semantic Trap: Do Fine-tuned LLMs Learn Vulnerability Root Cause or Just Functional Pattern?
Arxiv
0+阅读 · 1月30日
LLM-based Vulnerability Detection at Project Scale: An Empirical Study
Arxiv
0+阅读 · 1月27日
MulVul: Retrieval-augmented Multi-Agent Code Vulnerability Detection via Cross-Model Prompt Evolution
Arxiv
0+阅读 · 1月26日
Automated structural testing of LLM-based agents: methods, framework, and case studies
Arxiv
0+阅读 · 1月25日
Evaluating and Achieving Controllable Code Completion in Code LLM
Arxiv
0+阅读 · 1月22日
LLMs in Code Vulnerability Analysis: A Proof of Concept
Arxiv
0+阅读 · 1月13日
Detection of LLM-Paraphrased Code and Identification of the Responsible LLM Using Coding Style Features
Arxiv
0+阅读 · 1月9日
Improving LLM-Assisted Secure Code Generation through Retrieval-Augmented-Generation and Multi-Tool Feedback
Arxiv
0+阅读 · 1月1日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
漏洞检测
代码
系统
智能体系统
智能体
相关VIP内容
LLM/智能体作为数据分析师:综述
LLM/智能体作为数据分析师:综述
专知会员服务
36+阅读 · 2025年9月30日
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
专知会员服务
10+阅读 · 2025年9月3日
基于大语言模型(LLM)的智能体推理框架:从方法到场景的综述
基于大语言模型(LLM)的智能体推理框架:从方法到场景的综述
专知会员服务
52+阅读 · 2025年8月26日
大型语言模型(LLM)智能体全栈安全的综述:数据、训练与部署
大型语言模型(LLM)智能体全栈安全的综述:数据、训练与部署
专知会员服务
32+阅读 · 2025年4月23日
可信赖LLM智能体的研究综述:威胁与应对措施
可信赖LLM智能体的研究综述:威胁与应对措施
专知会员服务
36+阅读 · 2025年3月17日
【书籍】检索增强生成(RAG)在大规模语言模型(LLM)应用中的应用
【书籍】检索增强生成(RAG)在大规模语言模型(LLM)应用中的应用
专知会员服务
71+阅读 · 2024年10月7日
【ICLR2024】能检测到LLM产生的错误信息吗?
【ICLR2024】能检测到LLM产生的错误信息吗?
专知会员服务
25+阅读 · 2024年1月23日
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
RAG+LLM=?同济大学等最新《大型语言模型的检索增强生成》综述
专知会员服务
111+阅读 · 2023年12月19日
如何检测LLM内容?UCSB等最新首篇《LLM生成内容检测》综述
如何检测LLM内容?UCSB等最新首篇《LLM生成内容检测》综述
专知会员服务
49+阅读 · 2023年10月29日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
热门VIP内容
相关资讯
ChatGPT大模型如何做科学研究? CMU提出《大模型智能体系统》,高推理展现出大型语言模型的新兴自主科学研究能力
ChatGPT大模型如何做科学研究? CMU提出《大模型智能体系统》,高推理展现出大型语言模型的新兴自主科学研究能力
专知
17+阅读 · 2023年4月12日
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
专知
25+阅读 · 2023年4月4日
智能合约的形式化验证方法研究综述
智能合约的形式化验证方法研究综述
专知
16+阅读 · 2021年5月8日
最新必读【预训练语言模型(BERT/XLNet等)】论文,Google/微软/华为ICLR2020提交论文
最新必读【预训练语言模型(BERT/XLNet等)】论文,Google/微软/华为ICLR2020提交论文
专知
36+阅读 · 2019年9月29日
Xsser 一款自动检测XSS漏洞工具
Xsser 一款自动检测XSS漏洞工具
黑白之道
14+阅读 · 2019年8月26日
中科院自动化所提出 BIFT 模型:面向自然语言生成,同步双向推断
中科院自动化所提出 BIFT 模型:面向自然语言生成,同步双向推断
AI科技评论
12+阅读 · 2019年5月2日
博客 | 总结+paper分享|对话系统中的自然语言生成技术(NLG)
博客 | 总结+paper分享|对话系统中的自然语言生成技术(NLG)
AI研习社
16+阅读 · 2018年12月4日
NLG ≠ 机器写作 | 专家专栏
NLG ≠ 机器写作 | 专家专栏
量子位
13+阅读 · 2018年9月10日
用Rasa NLU构建自己的中文NLU系统
用Rasa NLU构建自己的中文NLU系统
待字闺中
18+阅读 · 2017年9月18日
相关论文
How to Trick Your AI TA: A Systematic Study of Academic Jailbreaking in LLM Code Evaluation
Arxiv
0+阅读 · 2月3日
Failure-Aware Enhancements for Large Language Model (LLM) Code Generation: An Empirical Study on Decision Framework
Arxiv
0+阅读 · 2月2日
The Semantic Trap: Do Fine-tuned LLMs Learn Vulnerability Root Cause or Just Functional Pattern?
Arxiv
0+阅读 · 1月30日
LLM-based Vulnerability Detection at Project Scale: An Empirical Study
Arxiv
0+阅读 · 1月27日
MulVul: Retrieval-augmented Multi-Agent Code Vulnerability Detection via Cross-Model Prompt Evolution
Arxiv
0+阅读 · 1月26日
Automated structural testing of LLM-based agents: methods, framework, and case studies
Arxiv
0+阅读 · 1月25日
Evaluating and Achieving Controllable Code Completion in Code LLM
Arxiv
0+阅读 · 1月22日
LLMs in Code Vulnerability Analysis: A Proof of Concept
Arxiv
0+阅读 · 1月13日
Detection of LLM-Paraphrased Code and Identification of the Responsible LLM Using Coding Style Features
Arxiv
0+阅读 · 1月9日
Improving LLM-Assisted Secure Code Generation through Retrieval-Augmented-Generation and Multi-Tool Feedback
Arxiv
0+阅读 · 1月1日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
公钥密码体制的格分析方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
几类密码方案的格分析优化技术
国家自然科学基金
1+阅读 · 2015年12月31日
面向安全关键系统的时间可预测多核代码生成方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
广义双随机相位编码系统中以QR码为载体的信息加密及无损恢复
国家自然科学基金
0+阅读 · 2015年12月31日
大规模MIMO检测的理论性能分析和算法设计
国家自然科学基金
0+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于WEB信息的信息错误自动检测与修复技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
Top
微信扫码咨询专知VIP会员
Top