使用LLM检测不安全代码---Python漏洞检测的快速实验

最新推荐文章于 2025-04-10 18:51:32 发布
最新推荐文章于 2025-04-10 18:51:32 发布
阅读量1.2k 收藏 23
点赞数 22
文章标签: 人工智能 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lichunericli/article/details/136987813
版权
本文探讨了使用大型语言模型(LLM)如GPT4检测和修复Python代码中的安全漏洞。实验包括零样本、少样本、KNN少样本和带有修复的KNN Few-shot方法,结果显示,LLM在识别和修复不安全代码方面具有潜力,尤其当结合代码修复提示时,准确率和F1分数显著提升。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原文地址:detecting-insecure-code-with-llms

2024 年 3 月 22 日

如果您是软件专业人士,您可能会害怕在发布当天早上打开安全扫描报告。为什么?您知道它是提高工作质量和完整性的绝佳工具,但您也知道您将在接下来的几个小时内忙于在截止日期之前解决所有安全问题。如果幸运的话,许多问题都可能是误报,但您必须手动验证每个问题的状态,并在代码最终确定后快速修补其余问题。如果您经历过这种情况,您可能希望有一个更顺畅、更少临时性的流程来识别、分类和修复代码库中的漏洞。好消息是,最近的研究表明,大型语言模型 (LLM) 可以熟练地将代码分类为安全或不安全,解释弱点,甚至提出纠正性更改。这有可能显着简化传统静态扫描之外的安全编码实践。

如果您想探索 Jupyter Notebook 或测试您自己的代码,请转到OpenAI Cookbook 中的pull request(当前正在审核中)。

在我们开始提示 GPT4 之前,有一些关键概念和定义将有助于构建我们设计逻辑实验所需的基础。

常见Weakness(弱点)枚举

2006 年,政府资助的研究组织MITRE开始定期发布常见弱点枚举 (CWE),这是社区开发的软件和硬件弱点定义和描述的通用分类法。从这个意义上说,“弱点”是指软件或硬件中可能导致漏洞的情况。2023 年 25 名最危险 CWE名单突出显示了最严重的惯犯。还有另外一份名单,其中有15 家“顽固”CWE,它们在 2019 年至 2023 年期间出现在每个前 25 名的名单中。他们大致可以分为三组:

  • 第 1 组:对不可信数据源的弱处理(例如命令/SQL 注入、路径遍历、不正确的输入验证和跨站点脚本)
  • 第 2 组:内存管理或类型强制较弱(例如 NULL 指针解除引用)
  • 第 3 组:薄弱的安全设计选择(例如硬编码凭证)

为了帮助缩小调查范围并明确界定,我们将重点关注第一组 CWE。

静态代码分析

自动检测不安全代码的传统方法涉及使用静态分析工具,例如 CodeQL、Bandit、SonarQube、Coverity 和 Snyk。这些工具可以随时使用,但通常用于在代码冻结阶段之后和正式发布流程完成之前扫描代码是否存在漏洞。它们的工作原理是将源代码解析为抽象语法树或控制流图,表示代码的组织方式以及组件(类、函数、变量等)如何相互关联。然后使用基于规则的分析和模式匹配来检测各种问题。静态分析工具可以在整个开发周期中与 IDE 和 CICD 系统集成,并且许多工具提供自定义配置、查询和报告选项。它们非常有用,但也有一些缺点(除了那些最后一刻高压的错误修复方):

  • 资源密集型:它们将大量代码库转换为数据库以执行复杂的查询
  • 误报:它们通常包含大量的non-issues
  • 耗时的后续工作:需要付出巨大的努力来验证和修复问题

可以理解的是,这些限制激发了研究人员探索增强代码安全实践的新方法,例如生成式人工智能。

之前的工作

最低0.47元/天 解锁文章
lichunericli
关注
LLM-based Multi-Agents 系统架构详细设计和项目代码实例详解
AI天才研究院
09-03 1456
随着人工智能技术的快速发展,大语言模型(Large Language Models,LLMs)已经成为自然语言处理领域的重要突破。然而,单一的LLM在处理复杂任务时往往存在局限性。为了克服这些限制并充分发挥LLM的潜力,研究人员提出了基于LLM的多智能体(Multi-Agents)系统。这种系统通过整合多个专门化的智能体,实现了更强大、更灵活的问题解决能力。LLM-based Multi-Agents系统将多个基于大语言模型的智能体组织在一起,形成一个协作网络。
[算法前沿]--002-ChatGPT对安全的影响和开源的LLM大模型资源汇总
AI拉呱,专注于人工智与网络安全方面的研究,关注一起学习。
04-15 3966
从攻防的角度看,是通过防御和反制攻击来保护数据的安全性,其价值在于保护组织的敏感信息和知识产权,减少业务中断和损失,并维护组织的声誉。Chat GPT是生成式人工智能的开山之作,出道即巅峰,是继PC互联网、移动互联网之后又一次革命性创新,其创新性在于突破之前决策式AI基于规则的算法模型框架,跳出之前“数据搬运工”的传统模式,即在海量数据中寻找符合规则策略的数据,经过比对计算,基于当前的环境、条件和状态,准确的找到符合条件的数据,一步一步的走向算法和程序的终点,得出一个确定的决策。
python漏洞扫描器代码_Python打造漏洞扫描器 3
weixin_34522296的博客
12-23 1395
基于爬虫开发XSS检测插件1、实验说明1.1 实验内容本节课会基于上节课开发的插件框架,讲解xss漏洞造成的原理,据此编写一个简单的XSS检测插件,先上效果图。javascript 1.2 实验知识点XSS基础知识XSS检测原理1.3 实验环境Python 2.7Xfce终端sublime1.4 适合人群本课程难度为通常,属于中级级别课程,适合具备Python基础的用户,熟悉python基础知识加...
Python语言的漏洞扫描
2501_91009399的博客
03-07 305
漏洞扫描是指使用自动化工具对计算机系统、网络或者应用程序进行扫描,检测潜在的安全漏洞。漏洞扫描通常是信息安全评估的一部分,可以帮助组织识别并修复安全隐患,从而提升整体的安全性。id="# 组合URL# 发送GET请求# 简单检测:检查响应正文中是否包含特定内容else:在网络安全日益重要的今天,漏洞扫描是保护信息安全的重要手段之一。Python凭借其简单易用的特性,已成为开发漏洞扫描工具的热门选择。
使用Python从零开始构建千万级参数的大型语言模型(LLM
AI人工智能的学习之路
03-22 1321
徒手pytho撸出Transformer架构并一步步训练处一个LLM大模型
LLMPython中的使用和集成
stjklkjhgffxw的博客
09-12 1231
本文介绍了如何在Python使用和集成LLM。我们首先了解了LangChain及其在LLM应用程序开发中的作用。然后,我们学习了如何集成同的LLM提供商,并探讨了与LLM交互的多种方式。最后,我们讨论了使用代理和链来构建复杂的LLM应用程序。LangChain文档LangChain示例库Anthropic开发者资源Cohere文档。
Marvin - LLM驱动的AI函数开发包【Python
新缸中之脑
05-16 809
Marvin是一个用于构建 AI 驱动软件的Python库。Marvin 的工作是将 AI 直接集成到你的代码库中,使其看起来和感觉起来与任何其他功能一样。Marvin 引入了一个新概念,称为 AI 函数(AI functions)。AI函数与传统函数的同之处在于,它们依赖于源代码,而是通过使用 LLM 作为运行时,使用 AI 按需生成源代码。借助 AI 函数,你必为从网页中提取实体、对情绪评分或对数据库中的项目进行分类等任务编写复杂的代码。只需描述你的需求,调用函数,即可大功告成!推荐:用。
深入解析:LLM在软件代码安全领域的实践应用
网络安全
04-02 1671
随着数字化时代的到来,软件将成为构建业务数字化的基础设施,软件的安全将成为构筑数字世界的基础。现实中正是由于软件自身存在安全漏洞,才给法分子可乘之机利用漏洞实施网络犯罪行为。
大语言模型应用指南:执行Python代码
AI天才研究院
06-09 1283
随着人工智能技术的快速发展,大语言模型(Large Language Models,LLMs)已经成为了自然语言处理领域的重要突破。这些模型仅能够理解和生成人类语言,还能够理解和生成代码。在众多编程语言中,Python因其简洁、易读、功能强大的特性,成为了大语言模型与编程结合的首选语言之一。本文将深入探讨如何利用大语言模型执行Python代码,包括其原理、实现方法、安全考虑以及性能优化等方面。我们将以实际案例和代码示例来阐述这一过程,帮助读者更好地理解和应用这一强大的技术。
Langflow 远程命令执行漏洞复现(CVE-2025-3248)(附脚本)
最新发布
iSee857的博客
04-10 579
1.3.0 之前的 Langflow 版本在/api/v1/validate/code 端点容易受到攻击。未经身份验证的远程攻击者可以发送精心编制的 HTTP 请求以执行任意命令。(CVE-2025-3248)
浅谈如何进行LLM应用的测试
stingfire的博客
04-14 1077
传统软件应用的输出会遵循程序员编写的代码逻辑,对确定的输入能生成与之对应的确定输出。然而这个规律在基于LLM的应用中却那么成立,当我们输入提示给到LLM应用时,它结合上下文提示语及概率参数设置,最终输出就并是那么可预知的。而且从技术上看LLM应用的正常输出也未必就是准确或者合适的。对于这种非结构化、更多关注用户主观感受的产品,它们的质量如何度量呢?
Python 中的结构化 LLM 输出存储和解析
深度学习与计算机视觉
01-16 1485
介绍生成式人工智能目前在世界各地得到广泛应用。大型语言模型能够理解用户所提供的文本并在此基础上生成文本,这导致了从聊天机器人到文本分析器的众多应用。但这些大型语言模型通常以非结构化方式按原样生成文本。有时我们希望 LLM 生成的输出采用结构格式,例如 JSON(JavaScript 对象表示法)格式。假设我们正在使用 LLM 分析社交媒体帖子,并且我们需要代码本身中 LLM 生成的输出作为 JSO...
Python 机器学习/深度学习/算法专栏/LLM - 导读目录
BITDDD小栈
03-02 1876
机器学习、深度学习、LLM、数据结构算法专栏目录与整理,方便查找与阅读。
使用 Python 代码示例探索大型语言模型 (LLM)
iCloudEnd的博客
05-15 258
LLM视为一个巨大的文本和代码库,使用专门的算法在海量数据集上进行训练。这使得它们能够以细致入微的方式理解和响应人类语言,模仿人类交流,甚至生成创造性的文本格式。穿越时空的旅程:对语言理解机器的探索早在人工智能的历史中就开始了。计算能力和深度学习技术的显着进步使法学硕士在 2017 年左右成为人们关注的焦点。GPT-3 和 LaMDA 等模型因其功能而受到了极大的关注。LLM 的闪光点在哪里?内容创作:从撰写营销文案到创作诗歌,法学硕士可以协助生成创意文本内容。
Python + LLM 实现一个智能对话
2401_85373691的博客
08-10 500
大语言模型LLM全称是Large Language Models。LLM是指具有巨大参数量和极高语言理解能力的神经网络模型。这些模型被训练来理解和生成自然语言文本,能够执行多种自然语言处理(NLP)任务,如文本生成、翻译、摘要、问答等。文本生成:LLM可以生成各种类型的文本,如新闻、文章、小说等。智能对话系统:LLM可以用于构建智能对话系统,能够理解用户输入并生成合理的回复。信息检索和摘要:LLM可以帮助搜索引擎生成更准确的搜索结果摘要。语言翻译:LLM可以将一种语言翻译成另一种语言。
AI大模型企业应用实战:Prompt让LLM理解知识
2401_84204413的博客
06-25 2576
• 能够完成时下热门大模型垂直领域模型训练能力,提高程序员的编码能力: 大模型应用开发需要掌握机器学习算法、深度学习框架等技术,这些技术的掌握可以提高程序员的编码能力和分析能力,让程序员更加熟练地编写高质量的代码。• 基于大模型和企业数据AI应用开发,实现大模型理论、掌握GPU算力、硬件、LangChain开发框架和项目实战技能, 学会Fine-tuning垂直训练大模型(数据准备、数据蒸馏、大模型部署)一站式掌握;第五阶段: 大模型微调开发借助以大健康、新零售、新媒体领域构建适合当前领域大模型;
使用Python实现LLM的文本生成:风格迁移与内容控制
二进制的梦想
01-19 2040
大型语言模型(LLM)是基于Transformer架构的深度学习模型,通过大规模文本数据的预训练,能够生成高质量的文本。LLM的核心优势在于其强大的上下文理解能力和生成能力。常见的LLM包括OpenAI的GPT系列、Google的BERT、T5等。
Python在进行LLM应用相关开发常用的技术框架
东南草堂
09-26 812
实际使用中,大家在调研或者Demo阶段,倾向性还可以,但生产应用时,经常会产生些新的需求,如果在Langchain的基础上做二次开发,那是相当痛苦的。:Hugging Face提供了一个名为transformers的库,它包含了大量预训练的语言模型和工具,用于NLP任务,如预处理、训练、微调和部署。:由Hugging Face提供,这个库包含了大量预训练的模型,包括BERT、GPT-2等,并且可以用于LLM的开发。:这是一个自然语言处理库,提供了一些预训练的模型,可以用于LLM的开发。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值