本次分享论文为:AI-powered patching: the future of automated vulnerability fixes
基本信息原文作者:Jan Nowakowski, Jan Keller
作者单位:Google Security Engineering
关键词:AI, 安全性漏洞, 自动化修复, LLM, sanitizer bugs
原文链接:https://storage.googleapis.com/gweb-research2023-media/pubtools/pdf/4fd3441fe40bb74e3f94f5203a17399af07b115c.pdf
开源代码:[暂无]
论文要点
论文简介:本文先容了一种利用大措辞模型(LLMs)自动修复软件中的安全漏洞的方法。通过建立一个自动化流程,从创造漏洞到天生修复代码,再到测试和人工审查,这一流程能够有效加速并提高软件修复的质量和速率。
研究背景:随着AI技能的快速发展,其在软件安全领域的运用也越来越广泛。尤其是在自动化创造和修复漏洞方面,AI技能展现出巨大的潜力。
研究贡献:
a. 提出了一个完全的AI驱动漏洞修复流程,包括漏洞创造、复现与隔离、天生修复代码、测试和人工审查等步骤。
b. 成功利用LLMs自动修复了15%的sanitizer漏洞,大大减少了工程师的事情量。
c. 展示了AI技能在提高软件安全性方面的巨大潜力,为未来的自动化安全防御供应了新的思路。
弁言
当前,随着AI技能的不断进步,其在软件开拓和安全领域的运用也日益增多。特殊是在自动化创造和修复软件漏洞方面,AI供应了一种高效且可行的办理方案。Google的安全工程团队利用大措辞模型(LLMs),如Gemini模型,建立了一个自动化的漏洞修复流程。这一流程不仅能自动创造和隔离漏洞,还能天生修复代码供人工审查,极大提高了修复效率和速率。
背景知识
自动化安全漏洞修复技能的研究背景包括了漏洞检测、隔离和修复的全体过程。个中,漏洞检测常日由sanitizers完成,这是一类能在代码运行时检测出各种安全漏洞的工具。随后,通过自动化流程隔离并复现这些漏洞,以便更准确地天生修复代码。末了,修复代码通过自动化测试和人工审查,以确保其精确性和有效性。
论文方法
理论背景:研究团队利用LLMs的措辞天生能力,针对由sanitizers创造的内存安全漏洞,自动天生修复代码。这一过程依赖于LLMs强大的模式识别和代码天生能力。
方法实现:通过建立一个从漏洞创造到修复的完全自动化流程,包括漏洞创造、隔离与复现、利用LLMs天生修复代码、代码测试和人工审查等环节。在此过程中,研究团队利用了Gemini模型,并通过实验比拟不同模型在漏洞修复中的效果。
实验
实验设置:实验通过自动化流程处理真实天下中的sanitizer漏洞,评估了LLMs在天生有效修复代码方面的能力。
实验结果:实验结果显示,Gemini模型能够自动修复15%的sanitizer漏洞,比较人工修复大大减少了事情量。此外,这一过程还创造不同模型在处理不同类型漏洞时的效率差异,为未来选择最适宜的模型供应了参考。
论文结论
本研究展示了利用AI技能,特殊是LLMs在自动化修复软件安全漏洞方面的巨大潜力。通过自动化的漏洞修复流程,不仅可以加快修复速率,还可以提高软件的安全性。未来,随着AI技能的进一步发展,自动化安全漏洞的修复将变得更加高效和普遍。
原作者:论文解读智能体
润色:Fancy
校正:小椰风