会员服务
基准 · 基准测试 · 代码 · 软件 · 智能体 ·
2 月 16 日
Is Vibe Coding Safe? Benchmarking Vulnerability of Agent-Generated Code in Real-World Tasks
翻译:Vibe Coding安全吗?真实世界任务中智能体生成代码的漏洞基准测试
Songwen Zhao,Danqing Wang,Kexun Zhang,Jiaxuan Luo,Zhuo Li,Lei Li
Songwen Zhao,Danqing Wang,Kexun Zhang,Jiaxuan Luo,Zhuo Li,Lei Li

Vibe coding is a new programming paradigm in which human engineers instruct large language model (LLM) agents to complete complex coding tasks with little supervision. Although vibe coding is increasingly adopted, are its outputs really safe to deploy in production? To answer this question, we propose SU S VI B E S, a benchmark consisting of 200 feature-request software engineering tasks from real-world open-source projects, which, when given to human programmers, led to vulnerable implementations. We evaluate multiple widely used coding agents with frontier models on this benchmark. Disturbingly, all agents perform poorly in terms of software security. Although 61% of the solutions from SWE-Agent with Claude 4 Sonnet are functionally correct, only 10.5% are secure. Further experiments demonstrate that preliminary security strategies, such as augmenting the feature request with vulnerability hints, cannot mitigate these security issues. Our findings raise serious concerns about the widespread adoption of vibe-coding, particularly in security-sensitive applications.


翻译:Vibe coding是一种新兴的编程范式,人类工程师通过指导大型语言模型(LLM)智能体以最小监督完成复杂编码任务。尽管vibe coding正被日益广泛地采用,但其输出成果是否真的能安全部署于生产环境?为回答这一问题,我们提出了SUSVIBES基准测试,该基准包含200项源自真实世界开源项目的功能需求软件工程任务——这些任务在交由人类程序员实现时曾产生存在漏洞的代码实现。我们基于该基准测试评估了多款采用前沿模型的常用编码智能体。令人不安的是,所有智能体在软件安全方面表现均不理想。虽然SWE-Agent配合Claude 4 Sonnet生成的解决方案中有61%功能正确,但仅10.5%具备安全性。进一步实验表明,初步安全策略(例如在功能需求中附加漏洞提示)无法缓解这些安全问题。我们的研究结果对vibe coding在安全敏感应用中的广泛采用提出了严重关切。
0
下载
关闭预览

相关内容

智能体评判者(Agent-as-a-Judge)研究综述
智能体评判者(Agent-as-a-Judge)研究综述
专知会员服务
37+阅读 · 1月9日
Vibe Coding 实践:探讨心流、技术债及可持续应用规范
Vibe Coding 实践:探讨心流、技术债及可持续应用规范
专知会员服务
15+阅读 · 2025年12月26日
智能体安全综述:应用、威胁与防御
智能体安全综述:应用、威胁与防御
专知会员服务
41+阅读 · 2025年10月12日
AI智能体编程:技术、挑战与机遇综述
AI智能体编程:技术、挑战与机遇综述
专知会员服务
44+阅读 · 2025年8月18日
智能体任务执行安全要求
智能体任务执行安全要求
专知会员服务
19+阅读 · 2025年7月12日
生成式人工智能大型语言模型的安全性:概述
生成式人工智能大型语言模型的安全性:概述
专知会员服务
35+阅读 · 2024年7月30日
首发!《大语言生成式人工智能和国土安全项目应用》美军2024最新359页
首发!《大语言生成式人工智能和国土安全项目应用》美军2024最新359页
专知会员服务
60+阅读 · 2024年5月23日
如何评估具身智能?斯坦福李飞飞等发布《BEHAVIOR-1K: 以人为中心、具身化AI基准测试,含1000种日常活动和真实模拟》
如何评估具身智能?斯坦福李飞飞等发布《BEHAVIOR-1K: 以人为中心、具身化AI基准测试,含1000种日常活动和真实模拟》
专知会员服务
62+阅读 · 2024年3月15日
生成式AI如何可控?谷歌DARPA等最新《识别并缓解生成式人工智能的安全风险》综述,详述GenAI技术安全性
生成式AI如何可控?谷歌DARPA等最新《识别并缓解生成式人工智能的安全风险》综述,详述GenAI技术安全性
专知会员服务
48+阅读 · 2023年9月20日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
专知
41+阅读 · 2022年7月27日
【JADC2指南】《实现联合全域指挥与控制的JADC2基本指南》11页slides,Splunk公司产品助力JADC2实施
【JADC2指南】《实现联合全域指挥与控制的JADC2基本指南》11页slides,Splunk公司产品助力JADC2实施
专知
23+阅读 · 2022年6月3日
《人工智能安全测评白皮书》,99页pdf
《人工智能安全测评白皮书》,99页pdf
专知
36+阅读 · 2022年2月26日
YOLOv5在建筑工地中安全帽佩戴检测的应用(已开源+数据集)
YOLOv5在建筑工地中安全帽佩戴检测的应用(已开源+数据集)
计算机视觉life
24+阅读 · 2020年11月10日
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
专知
12+阅读 · 2020年2月12日
百度实体链接比赛后记:行为建模和实体链接(含代码分享)
百度实体链接比赛后记:行为建模和实体链接(含代码分享)
PaperWeekly
21+阅读 · 2019年9月5日
Xsser 一款自动检测XSS漏洞工具
Xsser 一款自动检测XSS漏洞工具
黑白之道
14+阅读 · 2019年8月26日
【预测性维护】预测性维护是边缘计算与人工智能,在工业落地的最短路径?
【预测性维护】预测性维护是边缘计算与人工智能,在工业落地的最短路径?
产业智能官
14+阅读 · 2019年5月5日
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
专知
79+阅读 · 2019年4月24日
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
黑白之道
17+阅读 · 2019年2月27日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于量子模糊承诺体系的生物身份认证系统研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于Polar码的物理层安全编码技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
面向安全关键系统的时间可预测多核代码生成方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于智能特征的手绘组装建模的关键问题研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于概率本体的CPS入侵检测方法研究
国家自然科学基金
1+阅读 · 2014年12月31日
基于BIM的大型公共建筑运维期安全管理技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
面向大数据的城市地下工程施工期安全风险评估方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
CodeEvolve: an open source evolutionary coding agent for algorithmic discovery and optimization
Arxiv
0+阅读 · 3月12日
How Well Can LLM Agents Simulate End-User Security and Privacy Attitudes and Behaviors?
Arxiv
0+阅读 · 2月24日
CIBER: A Comprehensive Benchmark for Security Evaluation of Code Interpreter Agents
Arxiv
0+阅读 · 2月23日
SecRepoBench: Benchmarking Code Agents for Secure Code Completion in Real-World Repositories
Arxiv
0+阅读 · 2月14日
GoodVibe: Security-by-Vibe for LLM-Based Code Generation
Arxiv
0+阅读 · 2月11日
ProjDevBench: Benchmarking AI Coding Agents on End-to-End Project Development
Arxiv
0+阅读 · 2月9日
Secure Code Generation via Online Reinforcement Learning with Vulnerability Reward Model
Arxiv
0+阅读 · 2月7日
AIRS-Bench: a Suite of Tasks for Frontier AI Research Science Agents
Arxiv
0+阅读 · 2月6日
VibeCodeHPC: An Agent-Based Iterative Prompting Auto-Tuner for HPC Code Generation Using LLMs
Arxiv
0+阅读 · 2月5日
CVE-Factory: Scaling Expert-Level Agentic Tasks for Code Security Vulnerability
Arxiv
0+阅读 · 2月3日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
基准
基准测试
代码
软件
智能体
最新内容
人工智能与机器人自主系统等新兴技术革命将如何影响地面作战的指挥控制?
人工智能与机器人自主系统等新兴技术革命将如何影响地面作战的指挥控制?
专知会员服务
2+阅读 · 4月12日
弹性指挥控制:北约、伊朗与俄罗斯指挥控制架构的比较分析
弹性指挥控制:北约、伊朗与俄罗斯指挥控制架构的比较分析
专知会员服务
4+阅读 · 4月12日
最新“指挥控制”领域出版物合集(16份)
最新“指挥控制”领域出版物合集(16份)
专知会员服务
7+阅读 · 4月12日
面向军事作战需求开发的人工智能(RAIMOND)
面向军事作战需求开发的人工智能(RAIMOND)
专知会员服务
13+阅读 · 4月12日
检测算法战:一个识别军事行动中人工智能特征的框架
检测算法战:一个识别军事行动中人工智能特征的框架
专知会员服务
8+阅读 · 4月12日
软件定义多域战术网络:基础与未来方向(综述)
软件定义多域战术网络:基础与未来方向(综述)
专知会员服务
10+阅读 · 4月12日
水下战战术决策中的气象与海洋预报(50页报告)
水下战战术决策中的气象与海洋预报(50页报告)
专知会员服务
3+阅读 · 4月12日
远程空中优势:新一代超视距导弹的兴起
远程空中优势:新一代超视距导弹的兴起
专知会员服务
2+阅读 · 4月12日
大语言模型溯因推理的统一分类学与综述
大语言模型溯因推理的统一分类学与综述
专知会员服务
3+阅读 · 4月12日
CVPR 2026 Findings | 算力砍半、性能不降!全开源 A₁模型:让机器人大模型真正走向落地
CVPR 2026 Findings | 算力砍半、性能不降!全开源 A₁模型:让机器人大模型真正走向落地
专知会员服务
0+阅读 · 4月12日
大语言模型与国防战略:升级风险与国家安全挑战(综述)
大语言模型与国防战略:升级风险与国家安全挑战(综述)
专知会员服务
9+阅读 · 4月12日
《基于机器学习预测模型识别新型超视距战术及DARPA AIR智能体误差分析》
《基于机器学习预测模型识别新型超视距战术及DARPA AIR智能体误差分析》
专知会员服务
11+阅读 · 4月11日
以机器速度作战:人工智能与美陆军反火力作战——第二部分
以机器速度作战:人工智能与美陆军反火力作战——第二部分
专知会员服务
10+阅读 · 4月11日
以机器速度作战:人工智能与美陆军反火力作战——第一部分
以机器速度作战:人工智能与美陆军反火力作战——第一部分
专知会员服务
8+阅读 · 4月11日
大视觉语言模型的高效推理:瓶颈剖析、关键技术与未来展望
大视觉语言模型的高效推理:瓶颈剖析、关键技术与未来展望
专知会员服务
7+阅读 · 4月11日
相关VIP内容
智能体评判者(Agent-as-a-Judge)研究综述
智能体评判者(Agent-as-a-Judge)研究综述
专知会员服务
37+阅读 · 1月9日
Vibe Coding 实践:探讨心流、技术债及可持续应用规范
Vibe Coding 实践:探讨心流、技术债及可持续应用规范
专知会员服务
15+阅读 · 2025年12月26日
智能体安全综述:应用、威胁与防御
智能体安全综述:应用、威胁与防御
专知会员服务
41+阅读 · 2025年10月12日
AI智能体编程:技术、挑战与机遇综述
AI智能体编程:技术、挑战与机遇综述
专知会员服务
44+阅读 · 2025年8月18日
智能体任务执行安全要求
智能体任务执行安全要求
专知会员服务
19+阅读 · 2025年7月12日
生成式人工智能大型语言模型的安全性:概述
生成式人工智能大型语言模型的安全性:概述
专知会员服务
35+阅读 · 2024年7月30日
首发!《大语言生成式人工智能和国土安全项目应用》美军2024最新359页
首发!《大语言生成式人工智能和国土安全项目应用》美军2024最新359页
专知会员服务
60+阅读 · 2024年5月23日
如何评估具身智能?斯坦福李飞飞等发布《BEHAVIOR-1K: 以人为中心、具身化AI基准测试,含1000种日常活动和真实模拟》
如何评估具身智能?斯坦福李飞飞等发布《BEHAVIOR-1K: 以人为中心、具身化AI基准测试,含1000种日常活动和真实模拟》
专知会员服务
62+阅读 · 2024年3月15日
生成式AI如何可控?谷歌DARPA等最新《识别并缓解生成式人工智能的安全风险》综述,详述GenAI技术安全性
生成式AI如何可控?谷歌DARPA等最新《识别并缓解生成式人工智能的安全风险》综述,详述GenAI技术安全性
专知会员服务
48+阅读 · 2023年9月20日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
热门VIP内容
相关资讯
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
推荐!【中文版】《指挥、控制、通信和情报(C3I)系统安全性综述:漏洞、攻击和对策》35页最新论文
专知
41+阅读 · 2022年7月27日
【JADC2指南】《实现联合全域指挥与控制的JADC2基本指南》11页slides,Splunk公司产品助力JADC2实施
【JADC2指南】《实现联合全域指挥与控制的JADC2基本指南》11页slides,Splunk公司产品助力JADC2实施
专知
23+阅读 · 2022年6月3日
《人工智能安全测评白皮书》,99页pdf
《人工智能安全测评白皮书》,99页pdf
专知
36+阅读 · 2022年2月26日
YOLOv5在建筑工地中安全帽佩戴检测的应用(已开源+数据集)
YOLOv5在建筑工地中安全帽佩戴检测的应用(已开源+数据集)
计算机视觉life
24+阅读 · 2020年11月10日
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
【Google AI新论文】REALM:检索增强语言模型预训练,QA的SOTA提升4-16%准确性
专知
12+阅读 · 2020年2月12日
百度实体链接比赛后记:行为建模和实体链接(含代码分享)
百度实体链接比赛后记:行为建模和实体链接(含代码分享)
PaperWeekly
21+阅读 · 2019年9月5日
Xsser 一款自动检测XSS漏洞工具
Xsser 一款自动检测XSS漏洞工具
黑白之道
14+阅读 · 2019年8月26日
【预测性维护】预测性维护是边缘计算与人工智能,在工业落地的最短路径?
【预测性维护】预测性维护是边缘计算与人工智能,在工业落地的最短路径?
产业智能官
14+阅读 · 2019年5月5日
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
专知
79+阅读 · 2019年4月24日
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
黑白之道
17+阅读 · 2019年2月27日
相关论文
CodeEvolve: an open source evolutionary coding agent for algorithmic discovery and optimization
Arxiv
0+阅读 · 3月12日
How Well Can LLM Agents Simulate End-User Security and Privacy Attitudes and Behaviors?
Arxiv
0+阅读 · 2月24日
CIBER: A Comprehensive Benchmark for Security Evaluation of Code Interpreter Agents
Arxiv
0+阅读 · 2月23日
SecRepoBench: Benchmarking Code Agents for Secure Code Completion in Real-World Repositories
Arxiv
0+阅读 · 2月14日
GoodVibe: Security-by-Vibe for LLM-Based Code Generation
Arxiv
0+阅读 · 2月11日
ProjDevBench: Benchmarking AI Coding Agents on End-to-End Project Development
Arxiv
0+阅读 · 2月9日
Secure Code Generation via Online Reinforcement Learning with Vulnerability Reward Model
Arxiv
0+阅读 · 2月7日
AIRS-Bench: a Suite of Tasks for Frontier AI Research Science Agents
Arxiv
0+阅读 · 2月6日
VibeCodeHPC: An Agent-Based Iterative Prompting Auto-Tuner for HPC Code Generation Using LLMs
Arxiv
0+阅读 · 2月5日
CVE-Factory: Scaling Expert-Level Agentic Tasks for Code Security Vulnerability
Arxiv
0+阅读 · 2月3日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于量子模糊承诺体系的生物身份认证系统研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于Polar码的物理层安全编码技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
面向安全关键系统的时间可预测多核代码生成方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于智能特征的手绘组装建模的关键问题研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于概率本体的CPS入侵检测方法研究
国家自然科学基金
1+阅读 · 2014年12月31日
基于BIM的大型公共建筑运维期安全管理技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
面向大数据的城市地下工程施工期安全风险评估方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top