会员服务
代码 · AI · 安全编码 · 识别 · Claude ·
2 月 17 日
Secure Coding with AI -- From Detection to Repair
翻译:AI辅助安全编码——从检测到修复
Vladislav Belozerov,Peter J Barclay,Ashkan Sami
Vladislav Belozerov,Peter J Barclay,Ashkan Sami

While several studies have examined the security of code generated by GPT and other Large Language Models (LLMs), most have relied on controlled experiments rather than real developer interactions. This paper investigates the security of GPT-generated code extracted from the DevGPT dataset and evaluates the ability of current LLMs to detect and repair vulnerabilities in this real-world context. We analysed 2,315 C, C++, and C# code snippets using static scanners combined with manual inspection, identifying 56 vulnerabilities across 48 files. These files were then assessed using GPT-4.1, GPT-5, and Claude Opus 4.1 to determine whether these could identify the security issues and, where applicable, to specify the corresponding Common Weakness Enumeration (CWE) numbers and propose fixes. Manual review and re-scanning of the modified code showed that GPT-4.1, GPT-5, and Claude Opus 4.1 correctly detected 46, 44, and 45 vulnerabilities, and successfully repaired 42, 44, and 43 respectively. A comparison of experiments conducted in October 2024 and September 2025 indicates substantial progress, with overall detection and remediation rates improving from roughly 50 % to around 75 - 80 %. We also observe that LLM-generated code is about as likely to contain vulnerabilities as developer-written code, and that LLMs may confidently provide incorrect information, posing risks for less experienced developers.


翻译:尽管已有若干研究探讨了GPT及其他大型语言模型(LLM)生成代码的安全性,但多数依赖于受控实验而非真实的开发者交互场景。本文基于DevGPT数据集提取的GPT生成代码,研究其安全性,并评估当前LLM在真实场景中检测与修复漏洞的能力。我们结合静态扫描工具与人工审查,分析了2,315个C、C++及C#代码片段,在48个文件中识别出56个安全漏洞。随后使用GPT-4.1、GPT-5和Claude Opus 4.1对这些文件进行评估,检验其能否识别安全问题,并在适用时指定对应的通用缺陷枚举(CWE)编号并提出修复方案。经人工复核与修改代码的重新扫描显示,GPT-4.1、GPT-5和Claude Opus 4.1分别正确检测出46、44和45个漏洞,并成功修复了42、44和43个漏洞。对比2024年10月与2025年9月的实验结果表明,整体检测与修复率从约50%提升至约75-80%,显示出显著进步。我们还观察到,LLM生成的代码与开发者编写的代码在包含漏洞的可能性上相当,且LLM可能自信地提供错误信息,这对经验不足的开发者构成潜在风险。
0
下载
关闭预览

相关内容

代码(Code)是专知网的一个重要知识资料文档板块,旨在整理收录论文源代码、复现代码,经典工程代码等,便于用户查阅下载使用。
【NeurIPS2025】DNA-DetectLLM:基于 DNA 启发的“突变-修复”范式揭示 AI 生成文本
【NeurIPS2025】DNA-DetectLLM:基于 DNA 启发的“突变-修复”范式揭示 AI 生成文本
专知会员服务
12+阅读 · 2025年9月22日
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
专知会员服务
9+阅读 · 2025年9月3日
人工智能驱动的自动程序修复与代码生成的技术与进展全面综述
人工智能驱动的自动程序修复与代码生成的技术与进展全面综述
专知会员服务
25+阅读 · 2024年11月15日
AI在医疗中的安全挑战
AI在医疗中的安全挑战
专知会员服务
19+阅读 · 2024年10月5日
生成式人工智能大型语言模型的安全性:概述
生成式人工智能大型语言模型的安全性:概述
专知会员服务
35+阅读 · 2024年7月30日
GPT文本如何检测?《检测AI生成文本:影响当前方法检测能力的因素》最新综述
GPT文本如何检测?《检测AI生成文本:影响当前方法检测能力的因素》最新综述
专知会员服务
24+阅读 · 2024年7月3日
《利用 ChatGPT 实现高效事实核查》
《利用 ChatGPT 实现高效事实核查》
专知会员服务
47+阅读 · 2023年10月25日
生成式AI如何可控?谷歌DARPA等最新《识别并缓解生成式人工智能的安全风险》综述,详述GenAI技术安全性
生成式AI如何可控?谷歌DARPA等最新《识别并缓解生成式人工智能的安全风险》综述,详述GenAI技术安全性
专知会员服务
48+阅读 · 2023年9月20日
如何检测ChatGPT?TUM最新《检测ChatGPT生成文本现状》综述
如何检测ChatGPT?TUM最新《检测ChatGPT生成文本现状》综述
专知会员服务
41+阅读 · 2023年9月17日
ChatGP能生成,但搜索行么? 山大百度最新《将大型语言模型作为重排序代理进行研究》
ChatGP能生成,但搜索行么? 山大百度最新《将大型语言模型作为重排序代理进行研究》
专知会员服务
35+阅读 · 2023年4月20日
GPT-4 让 Python 程序实现自修复 Bug,国外小哥将工具命名为“金刚狼”,并开源!
GPT-4 让 Python 程序实现自修复 Bug,国外小哥将工具命名为“金刚狼”,并开源!
CSDN
11+阅读 · 2023年4月13日
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
《人工智能安全测评白皮书》,99页pdf
《人工智能安全测评白皮书》,99页pdf
专知
36+阅读 · 2022年2月26日
【预测性维护】预测性维护是边缘计算与人工智能,在工业落地的最短路径?
【预测性维护】预测性维护是边缘计算与人工智能,在工业落地的最短路径?
产业智能官
14+阅读 · 2019年5月5日
NLP-Progress记录NLP最新数据集、论文和代码: 助你紧跟NLP前沿
NLP-Progress记录NLP最新数据集、论文和代码: 助你紧跟NLP前沿
专知
17+阅读 · 2018年11月15日
【EMNLP2018干货】254 页《为NLP研究写出好代码》教程
【EMNLP2018干货】254 页《为NLP研究写出好代码》教程
专知
10+阅读 · 2018年11月2日
中国信通院:人工智能安全白皮书(2018年)(附解读及白皮书下载)
中国信通院:人工智能安全白皮书(2018年)(附解读及白皮书下载)
走向智能论坛
27+阅读 · 2018年9月18日
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
新智元
12+阅读 · 2018年7月13日
Facebook AI发布新版本FairSeq序列到序列(Seq2Seq)学习工具,可生成故事与快速推断
Facebook AI发布新版本FairSeq序列到序列(Seq2Seq)学习工具,可生成故事与快速推断
专知
23+阅读 · 2018年6月17日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于Polar码的物理层安全编码技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
广义双随机相位编码系统中以QR码为载体的信息加密及无损恢复
国家自然科学基金
0+阅读 · 2015年12月31日
编码和信息安全中的数学问题
国家自然科学基金
0+阅读 · 2015年12月31日
基于云计算平台的下一代测序数据错误修正算法研究与实现
国家自然科学基金
2+阅读 · 2015年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
SecCodePRM: A Process Reward Model for Code Security
Arxiv
0+阅读 · 2月11日
Secure Code Generation via Online Reinforcement Learning with Vulnerability Reward Model
Arxiv
0+阅读 · 2月7日
Persistent Human Feedback, LLMs, and Static Analyzers for Secure Code Generation and Vulnerability Detection
Persistent Human Feedback, LLMs, and Static Analyzers for Secure Code Generation and Vulnerability Detection
Arxiv
0+阅读 · 2月5日
AICD Bench: A Challenging Benchmark for AI-Generated Code Detection
Arxiv
0+阅读 · 2月2日
Autoregressive, Yet Revisable: In Decoding Revision for Secure Code Generation
Arxiv
0+阅读 · 2月1日
From Detection to Prevention: Explaining Security-Critical Code to Avoid Vulnerabilities
Arxiv
0+阅读 · 1月31日
Protecting Private Code in IDE Autocomplete using Differential Privacy
Arxiv
0+阅读 · 1月30日
RealSec-bench: A Benchmark for Evaluating Secure Code Generation in Real-World Repositories
Arxiv
0+阅读 · 1月30日
Usage, Effects and Requirements for AI Coding Assistants in the Enterprise: An Empirical Study
Arxiv
0+阅读 · 1月27日
Adversarial Bug Reports as a Security Risk in Language Model-Based Automated Program Repair
Arxiv
0+阅读 · 1月26日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
代码
AI
安全编码
识别
Claude
相关VIP内容
【NeurIPS2025】DNA-DetectLLM:基于 DNA 启发的“突变-修复”范式揭示 AI 生成文本
【NeurIPS2025】DNA-DetectLLM:基于 DNA 启发的“突变-修复”范式揭示 AI 生成文本
专知会员服务
12+阅读 · 2025年9月22日
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
专知会员服务
9+阅读 · 2025年9月3日
人工智能驱动的自动程序修复与代码生成的技术与进展全面综述
人工智能驱动的自动程序修复与代码生成的技术与进展全面综述
专知会员服务
25+阅读 · 2024年11月15日
AI在医疗中的安全挑战
AI在医疗中的安全挑战
专知会员服务
19+阅读 · 2024年10月5日
生成式人工智能大型语言模型的安全性:概述
生成式人工智能大型语言模型的安全性:概述
专知会员服务
35+阅读 · 2024年7月30日
GPT文本如何检测?《检测AI生成文本:影响当前方法检测能力的因素》最新综述
GPT文本如何检测?《检测AI生成文本:影响当前方法检测能力的因素》最新综述
专知会员服务
24+阅读 · 2024年7月3日
《利用 ChatGPT 实现高效事实核查》
《利用 ChatGPT 实现高效事实核查》
专知会员服务
47+阅读 · 2023年10月25日
生成式AI如何可控?谷歌DARPA等最新《识别并缓解生成式人工智能的安全风险》综述,详述GenAI技术安全性
生成式AI如何可控?谷歌DARPA等最新《识别并缓解生成式人工智能的安全风险》综述,详述GenAI技术安全性
专知会员服务
48+阅读 · 2023年9月20日
如何检测ChatGPT?TUM最新《检测ChatGPT生成文本现状》综述
如何检测ChatGPT?TUM最新《检测ChatGPT生成文本现状》综述
专知会员服务
41+阅读 · 2023年9月17日
ChatGP能生成,但搜索行么? 山大百度最新《将大型语言模型作为重排序代理进行研究》
ChatGP能生成,但搜索行么? 山大百度最新《将大型语言模型作为重排序代理进行研究》
专知会员服务
35+阅读 · 2023年4月20日
热门VIP内容
相关资讯
GPT-4 让 Python 程序实现自修复 Bug,国外小哥将工具命名为“金刚狼”,并开源!
GPT-4 让 Python 程序实现自修复 Bug,国外小哥将工具命名为“金刚狼”,并开源!
CSDN
11+阅读 · 2023年4月13日
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
《人工智能安全测评白皮书》,99页pdf
《人工智能安全测评白皮书》,99页pdf
专知
36+阅读 · 2022年2月26日
【预测性维护】预测性维护是边缘计算与人工智能,在工业落地的最短路径?
【预测性维护】预测性维护是边缘计算与人工智能,在工业落地的最短路径?
产业智能官
14+阅读 · 2019年5月5日
NLP-Progress记录NLP最新数据集、论文和代码: 助你紧跟NLP前沿
NLP-Progress记录NLP最新数据集、论文和代码: 助你紧跟NLP前沿
专知
17+阅读 · 2018年11月15日
【EMNLP2018干货】254 页《为NLP研究写出好代码》教程
【EMNLP2018干货】254 页《为NLP研究写出好代码》教程
专知
10+阅读 · 2018年11月2日
中国信通院:人工智能安全白皮书(2018年)(附解读及白皮书下载)
中国信通院:人工智能安全白皮书(2018年)(附解读及白皮书下载)
走向智能论坛
27+阅读 · 2018年9月18日
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
新智元
12+阅读 · 2018年7月13日
Facebook AI发布新版本FairSeq序列到序列(Seq2Seq)学习工具,可生成故事与快速推断
Facebook AI发布新版本FairSeq序列到序列(Seq2Seq)学习工具,可生成故事与快速推断
专知
23+阅读 · 2018年6月17日
相关论文
SecCodePRM: A Process Reward Model for Code Security
Arxiv
0+阅读 · 2月11日
Secure Code Generation via Online Reinforcement Learning with Vulnerability Reward Model
Arxiv
0+阅读 · 2月7日
Persistent Human Feedback, LLMs, and Static Analyzers for Secure Code Generation and Vulnerability Detection
Persistent Human Feedback, LLMs, and Static Analyzers for Secure Code Generation and Vulnerability Detection
Arxiv
0+阅读 · 2月5日
AICD Bench: A Challenging Benchmark for AI-Generated Code Detection
Arxiv
0+阅读 · 2月2日
Autoregressive, Yet Revisable: In Decoding Revision for Secure Code Generation
Arxiv
0+阅读 · 2月1日
From Detection to Prevention: Explaining Security-Critical Code to Avoid Vulnerabilities
Arxiv
0+阅读 · 1月31日
Protecting Private Code in IDE Autocomplete using Differential Privacy
Arxiv
0+阅读 · 1月30日
RealSec-bench: A Benchmark for Evaluating Secure Code Generation in Real-World Repositories
Arxiv
0+阅读 · 1月30日
Usage, Effects and Requirements for AI Coding Assistants in the Enterprise: An Empirical Study
Arxiv
0+阅读 · 1月27日
Adversarial Bug Reports as a Security Risk in Language Model-Based Automated Program Repair
Arxiv
0+阅读 · 1月26日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于Polar码的物理层安全编码技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
广义双随机相位编码系统中以QR码为载体的信息加密及无损恢复
国家自然科学基金
0+阅读 · 2015年12月31日
编码和信息安全中的数学问题
国家自然科学基金
0+阅读 · 2015年12月31日
基于云计算平台的下一代测序数据错误修正算法研究与实现
国家自然科学基金
2+阅读 · 2015年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top