会员服务
API · 语言模型 · 模式匹配 · 分析 · 系统 ·
3 月 18 日
Beyond Static Pattern Matching? Rethinking Automatic Cryptographic API Misuse Detection in the Era of LLMs
翻译:超越静态模式匹配?重新思考大语言模型时代的自动加密API误用检测
Yifan Xia,Zichen Xie,Peiyu Liu,Kangjie Lu,Yan Liu,Wenhai Wang,Shouling Ji
Yifan Xia,Zichen Xie,Peiyu Liu,Kangjie Lu,Yan Liu,Wenhai Wang,Shouling Ji
from arxiv, ISSTA 2025

While the automated detection of cryptographic API misuses has progressed significantly, its precision diminishes for intricate targets due to the reliance on manually defined patterns. Large Language Models (LLMs) offer a promising context-aware understanding to address this shortcoming, yet the stochastic nature and the hallucination issue pose challenges to their applications in precise security analysis. This paper presents the first systematic study to explore LLMs' application in cryptographic API misuse detection. Our findings are noteworthy: The instability of directly applying LLMs results in over half of the initial reports being false positives. Despite this, the reliability of LLM-based detection could be significantly enhanced by aligning detection scopes with realistic scenarios and employing a novel code and analysis validation technique, achieving a nearly 90% detection recall. This improvement substantially surpasses traditional methods and leads to the discovery of previously unknown vulnerabilities in established benchmarks. Nevertheless, we identify recurring failure patterns that illustrate current LLMs' blind spots. Leveraging these findings, we deploy an LLM-based detection system and uncover 63 new vulnerabilities (47 confirmed, 7 already fixed) in open-source Java and Python repositories, including prominent projects like Apache.


翻译:尽管加密API误用的自动化检测已取得显著进展,但由于依赖手动定义的模式,其在复杂目标上的检测精度有所下降。大语言模型(LLMs)提供了具有前景的上下文感知理解能力,有望弥补这一不足,但其随机性本质和幻觉问题为其在精确安全分析中的应用带来了挑战。本文首次系统性地探索了LLMs在加密API误用检测中的应用。我们的发现值得关注:直接应用LLMs的不稳定性导致超过一半的初始报告为误报。尽管如此,通过将检测范围与现实场景对齐,并采用一种新颖的代码与分析验证技术,基于LLM的检测可靠性可得到显著提升,实现了接近90%的检测召回率。这一改进大幅超越了传统方法,并导致在既有基准测试中发现了先前未知的漏洞。然而,我们识别出了反复出现的失败模式,这些模式揭示了当前LLMs的盲点。利用这些发现,我们部署了一个基于LLM的检测系统,并在开源Java和Python代码库中发现了63个新漏洞(其中47个已确认,7个已修复),其中包括Apache等知名项目。
1
下载
关闭预览

相关内容

应用程序接口(简称 API),又称为应用编程接口,就是软件系统不同组成部分衔接的约定。
大语言模型高效推理中的动态模型路由与级联技术综述
大语言模型高效推理中的动态模型路由与级联技术综述
专知会员服务
14+阅读 · 3月6日
综述:面向移动端大语言模型的隐私与安全
综述:面向移动端大语言模型的隐私与安全
专知会员服务
19+阅读 · 2025年9月7日
重新思考不确定性:大语言模型时代的关键综述与分析
重新思考不确定性:大语言模型时代的关键综述与分析
专知会员服务
39+阅读 · 2024年11月20日
大型语言模型对齐技术综述:RLHF、RLAIF、PPO、DPO 等
大型语言模型对齐技术综述:RLHF、RLAIF、PPO、DPO 等
专知会员服务
55+阅读 · 2024年7月24日
大型语言模型网络安全综述
大型语言模型网络安全综述
专知会员服务
68+阅读 · 2024年5月12日
大型语言模型在预测和异常检测中的应用综述
大型语言模型在预测和异常检测中的应用综述
专知会员服务
70+阅读 · 2024年2月19日
大模型如何构建和部署?微软等最新《大型语言模型》综述,详述GPT, LLaMA, PaLM技术细节,Tomas等大牛撰写
大模型如何构建和部署?微软等最新《大型语言模型》综述,详述GPT, LLaMA, PaLM技术细节,Tomas等大牛撰写
专知会员服务
91+阅读 · 2024年2月12日
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
专知会员服务
49+阅读 · 2024年1月17日
大模型的“幻觉”如何克服?腾讯AILab等《大型语言模型中的幻觉》,全面阐述检测、解释和减轻幻觉
大模型的“幻觉”如何克服?腾讯AILab等《大型语言模型中的幻觉》,全面阐述检测、解释和减轻幻觉
专知会员服务
72+阅读 · 2023年9月7日
如何检测大模型“幻觉”?剑桥提出SelfCheckGPT: 针对生成型大型语言模型的零资源黑盒子幻觉检测
如何检测大模型“幻觉”?剑桥提出SelfCheckGPT: 针对生成型大型语言模型的零资源黑盒子幻觉检测
专知会员服务
43+阅读 · 2023年8月22日
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
专知
25+阅读 · 2023年4月4日
OpenAI超级对话模型ChatGPT发布!智能回答堪比雅思口语满分案例
OpenAI超级对话模型ChatGPT发布!智能回答堪比雅思口语满分案例
新智元
29+阅读 · 2022年12月1日
最新必读【预训练语言模型(BERT/XLNet等)】论文,Google/微软/华为ICLR2020提交论文
最新必读【预训练语言模型(BERT/XLNet等)】论文,Google/微软/华为ICLR2020提交论文
专知
36+阅读 · 2019年9月29日
Facebook 自然语言处理新突破:新模型能力赶超人类 & 超难 NLP 新基准
Facebook 自然语言处理新突破:新模型能力赶超人类 & 超难 NLP 新基准
AI科技评论
10+阅读 · 2019年9月17日
GitHub超9千星:一个API调用27个NLP预训练模型
GitHub超9千星:一个API调用27个NLP预训练模型
新智元
17+阅读 · 2019年7月22日
超越 BERT 和 GPT,微软亚洲研究院开源新模型 MASS!
超越 BERT 和 GPT,微软亚洲研究院开源新模型 MASS!
雷锋网
10+阅读 · 2019年6月27日
语义鸿沟、异构鸿沟、数据缺失,多模态技术如何跨过这些坎?
语义鸿沟、异构鸿沟、数据缺失,多模态技术如何跨过这些坎?
AI前线
15+阅读 · 2019年3月21日
自然语言处理中的语言模型预训练方法
自然语言处理中的语言模型预训练方法
PaperWeekly
14+阅读 · 2018年10月21日
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
新智元
12+阅读 · 2018年7月13日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于WEB信息的信息错误自动检测与修复技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
自检测型量子密钥分配研究
国家自然科学基金
0+阅读 · 2014年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
千万自由度量级并行有限元模态和振动分析软件研发
国家自然科学基金
0+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
可重构的环境自适应RS码软判决译码器研究
国家自然科学基金
0+阅读 · 2014年12月31日
Beyond the Black Box: A Survey on the Theory and Mechanism of Large Language Models
Arxiv
0+阅读 · 3月12日
Inference-Time Safety For Code LLMs Via Retrieval-Augmented Revision
Arxiv
1+阅读 · 3月2日
Enhancing Large Language Models (LLMs) for Telecom using Dynamic Knowledge Graphs and Explainable Retrieval-Augmented Generation
Enhancing Large Language Models (LLMs) for Telecom using Dynamic Knowledge Graphs and Explainable Retrieval-Augmented Generation
Arxiv
0+阅读 · 2月19日
Rethinking the Role of LLMs in Time Series Forecasting
Arxiv
0+阅读 · 2月16日
Stop Tracking Me! Proactive Defense Against Attribute Inference Attack in LLMs
Arxiv
0+阅读 · 2月12日
Differentially Private and Communication Efficient Large Language Model Split Inference via Stochastic Quantization and Soft Prompt
Arxiv
0+阅读 · 2月12日
Next-generation cyberattack detection with large language models: anomaly analysis across heterogeneous logs
Arxiv
0+阅读 · 2月6日
Evaluating and Enhancing the Vulnerability Reasoning Capabilities of Large Language Models
Arxiv
0+阅读 · 2月6日
Overstating Attitudes, Ignoring Networks: LLM Biases in Simulating Misinformation Susceptibility
Arxiv
0+阅读 · 2月4日
AICrypto: Evaluating Cryptography Capabilities of Large Language Models
Arxiv
0+阅读 · 2月3日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
API
语言模型
模式匹配
分析
系统
最新内容
2026 年 Agentic AI 工程师完全指南:一份系统化的学习路线图
2026 年 Agentic AI 工程师完全指南:一份系统化的学习路线图
专知会员服务
7+阅读 · 4月14日
内省扩散语言模型
内省扩散语言模型
专知会员服务
2+阅读 · 4月14日
美伊停火协议:评估、各方反应及美国会面临的问题
美伊停火协议:评估、各方反应及美国会面临的问题
专知会员服务
4+阅读 · 4月14日
国外反无人机系统与技术动态
国外反无人机系统与技术动态
专知会员服务
3+阅读 · 4月14日
世界无人无线电情报系统经验分析与实验实现(研究论文)
世界无人无线电情报系统经验分析与实验实现(研究论文)
专知会员服务
5+阅读 · 4月14日
大规模作战行动中的战术作战评估(研究论文)
大规模作战行动中的战术作战评估(研究论文)
专知会员服务
5+阅读 · 4月14日
(中文长文)城市战与小部队城市战术:来自俄乌战争的观察
(中文长文)城市战与小部队城市战术:来自俄乌战争的观察
专知会员服务
4+阅读 · 4月14日
未来的海战无人自主系统
未来的海战无人自主系统
专知会员服务
3+阅读 · 4月14日
美军多域作战现状分析:战略、概念还是幻想?
美军多域作战现状分析:战略、概念还是幻想?
专知会员服务
5+阅读 · 4月14日
(中文万字长文)美智库:针对伊朗的防空作战分析(报告)
(中文万字长文)美智库:针对伊朗的防空作战分析(报告)
专知会员服务
19+阅读 · 4月14日
无人机与反无人机系统(书籍)
无人机与反无人机系统(书籍)
专知会员服务
19+阅读 · 4月14日
(中文万字长文)2025-2026年乌克兰无人机拦截技术演进:反无人机技术、项目、效果、西方援助
(中文万字长文)2025-2026年乌克兰无人机拦截技术演进:反无人机技术、项目、效果、西方援助
专知会员服务
7+阅读 · 4月14日
美陆军2026条令:安全与机动支援
美陆军2026条令:安全与机动支援
专知会员服务
7+阅读 · 4月14日
【牛津博士论文】以语言为接口的医学影像表示学习
【牛津博士论文】以语言为接口的医学影像表示学习
专知会员服务
12+阅读 · 4月13日
基于大语言模型的医疗推理研究:综述与 MR-Bench 基准测试
基于大语言模型的医疗推理研究:综述与 MR-Bench 基准测试
专知会员服务
10+阅读 · 4月13日
相关VIP内容
大语言模型高效推理中的动态模型路由与级联技术综述
大语言模型高效推理中的动态模型路由与级联技术综述
专知会员服务
14+阅读 · 3月6日
综述:面向移动端大语言模型的隐私与安全
综述:面向移动端大语言模型的隐私与安全
专知会员服务
19+阅读 · 2025年9月7日
重新思考不确定性:大语言模型时代的关键综述与分析
重新思考不确定性:大语言模型时代的关键综述与分析
专知会员服务
39+阅读 · 2024年11月20日
大型语言模型对齐技术综述:RLHF、RLAIF、PPO、DPO 等
大型语言模型对齐技术综述:RLHF、RLAIF、PPO、DPO 等
专知会员服务
55+阅读 · 2024年7月24日
大型语言模型网络安全综述
大型语言模型网络安全综述
专知会员服务
68+阅读 · 2024年5月12日
大型语言模型在预测和异常检测中的应用综述
大型语言模型在预测和异常检测中的应用综述
专知会员服务
70+阅读 · 2024年2月19日
大模型如何构建和部署?微软等最新《大型语言模型》综述,详述GPT, LLaMA, PaLM技术细节,Tomas等大牛撰写
大模型如何构建和部署?微软等最新《大型语言模型》综述,详述GPT, LLaMA, PaLM技术细节,Tomas等大牛撰写
专知会员服务
91+阅读 · 2024年2月12日
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
专知会员服务
49+阅读 · 2024年1月17日
大模型的“幻觉”如何克服?腾讯AILab等《大型语言模型中的幻觉》,全面阐述检测、解释和减轻幻觉
大模型的“幻觉”如何克服?腾讯AILab等《大型语言模型中的幻觉》,全面阐述检测、解释和减轻幻觉
专知会员服务
72+阅读 · 2023年9月7日
如何检测大模型“幻觉”?剑桥提出SelfCheckGPT: 针对生成型大型语言模型的零资源黑盒子幻觉检测
如何检测大模型“幻觉”?剑桥提出SelfCheckGPT: 针对生成型大型语言模型的零资源黑盒子幻觉检测
专知会员服务
43+阅读 · 2023年8月22日
热门VIP内容
相关资讯
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
专知
25+阅读 · 2023年4月4日
OpenAI超级对话模型ChatGPT发布!智能回答堪比雅思口语满分案例
OpenAI超级对话模型ChatGPT发布!智能回答堪比雅思口语满分案例
新智元
29+阅读 · 2022年12月1日
最新必读【预训练语言模型(BERT/XLNet等)】论文,Google/微软/华为ICLR2020提交论文
最新必读【预训练语言模型(BERT/XLNet等)】论文,Google/微软/华为ICLR2020提交论文
专知
36+阅读 · 2019年9月29日
Facebook 自然语言处理新突破:新模型能力赶超人类 & 超难 NLP 新基准
Facebook 自然语言处理新突破:新模型能力赶超人类 & 超难 NLP 新基准
AI科技评论
10+阅读 · 2019年9月17日
GitHub超9千星:一个API调用27个NLP预训练模型
GitHub超9千星:一个API调用27个NLP预训练模型
新智元
17+阅读 · 2019年7月22日
超越 BERT 和 GPT,微软亚洲研究院开源新模型 MASS!
超越 BERT 和 GPT,微软亚洲研究院开源新模型 MASS!
雷锋网
10+阅读 · 2019年6月27日
语义鸿沟、异构鸿沟、数据缺失,多模态技术如何跨过这些坎?
语义鸿沟、异构鸿沟、数据缺失,多模态技术如何跨过这些坎?
AI前线
15+阅读 · 2019年3月21日
自然语言处理中的语言模型预训练方法
自然语言处理中的语言模型预训练方法
PaperWeekly
14+阅读 · 2018年10月21日
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
新智元
12+阅读 · 2018年7月13日
相关论文
Beyond the Black Box: A Survey on the Theory and Mechanism of Large Language Models
Arxiv
0+阅读 · 3月12日
Inference-Time Safety For Code LLMs Via Retrieval-Augmented Revision
Arxiv
1+阅读 · 3月2日
Enhancing Large Language Models (LLMs) for Telecom using Dynamic Knowledge Graphs and Explainable Retrieval-Augmented Generation
Enhancing Large Language Models (LLMs) for Telecom using Dynamic Knowledge Graphs and Explainable Retrieval-Augmented Generation
Arxiv
0+阅读 · 2月19日
Rethinking the Role of LLMs in Time Series Forecasting
Arxiv
0+阅读 · 2月16日
Stop Tracking Me! Proactive Defense Against Attribute Inference Attack in LLMs
Arxiv
0+阅读 · 2月12日
Differentially Private and Communication Efficient Large Language Model Split Inference via Stochastic Quantization and Soft Prompt
Arxiv
0+阅读 · 2月12日
Next-generation cyberattack detection with large language models: anomaly analysis across heterogeneous logs
Arxiv
0+阅读 · 2月6日
Evaluating and Enhancing the Vulnerability Reasoning Capabilities of Large Language Models
Arxiv
0+阅读 · 2月6日
Overstating Attitudes, Ignoring Networks: LLM Biases in Simulating Misinformation Susceptibility
Arxiv
0+阅读 · 2月4日
AICrypto: Evaluating Cryptography Capabilities of Large Language Models
Arxiv
0+阅读 · 2月3日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于WEB信息的信息错误自动检测与修复技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
自检测型量子密钥分配研究
国家自然科学基金
0+阅读 · 2014年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
千万自由度量级并行有限元模态和振动分析软件研发
国家自然科学基金
0+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
可重构的环境自适应RS码软判决译码器研究
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top