txg666的博客

论文摘要： 南洋理工大学与北京大学的研究团队在ISSTA 2025发表论文《Enhancing Vulnerability Detection via Inter-procedural Semantic Completion》，提出**跨过程语义补全（VulnSC）**方法，解决漏洞检测中因函数边界语义缺失导致的误报/漏报问题。该方法通过三步实现：1) 识别函数间参数传递、返回值依赖等关键语义点；2) 将被调用函数语义映射至调用点；3) 基于增强的代码表示训练检测模型。

论文摘要： 针对真实工业场景中漏洞检测面临的噪声数据、标签不一致等挑战，本文提出MARCOVul框架，通过数据预处理-多特征融合-工程化建模的全流程方案提升检测鲁棒性。核心贡献包括：1）系统化数据清洗方法解决工业数据质量问题；2）融合代码文本、语法结构（AST/CFG/PDG）与语义特征的多粒度表示；3）模块化设计适配大规模代码库。

燕山大学团队在2026年提出VulDIAC框架，突破传统漏洞检测模型"准但不可解释"的局限。该框架通过三个创新阶段实现检测与解释一体化：(1)构建包含危险API、控制/数据依赖等安全语义的增强表示；(2)基于深度网络的函数级漏洞预测；(3)注意力机制驱动的关键语句定位。实验表明，在Devign和Big-Vul数据集上F1值分别提升27.16%和53.59%，验证了增强控制流图对性能的关键作用。

摘要：针对基于图的漏洞检测方法中代码图复杂度高、冗余信息干扰等问题，研究团队提出自适应代码图简化框架ANGEL。该框架通过多视图程序图融合、节点重要性评估和图结构简化策略，在不损失关键信息的前提下自动压缩代码图，显著提升了漏洞检测性能。实验表明，ANGEL在Devign等主流数据集上的F1分数较基线模型提升14.0%-43.4%，验证了"简化输入结构"这一新思路的有效性。该研究为突破当前模型性能瓶颈提供了重要方向。

将漏洞类型识别建模为一个长期演化的增量学习任务，而非一次性分类问题。① 增量任务构建按照漏洞披露时间将数据划分为多个顺序阶段，模拟真实漏洞持续出现的过程。② 知识保持学习通过正则化与回放机制，在学习新漏洞类型的同时避免遗忘旧知识。③ 长尾感知优化针对低频但高风险漏洞类型进行重点建模。图 1. VulTypeIL框架小结：VulTypeIL 将“持续学习”这一机器学习范式引入漏洞类型识别，更贴合真实安全数据的演化规律。未来的漏洞智能分析系统必须具备持续学习能力。

摘要： 研究团队提出HgtJIT，一种基于异构图Transformer的即时漏洞检测框架，通过融合AST、CFG、DFG等多视图结构构建异构图，结合节点类型感知的注意力机制，高效捕获代码语义依赖。实验表明，HgtJIT在CodeJIT数据集上F1和AUC分别提升37.5%和53.7%，跨项目场景下泛化能力显著优于DeepJIT等基线模型。该框架为实时代码安全检测提供了新思路，兼具结构细粒度与推理效率优势。

VulScribeR 证明了 LLM + RAG 是一种可行且高效的“漏洞数据增强”路径：在保证漏洞语义与多样性的前提下，可以用低成本（≈ US$1.88 / 1K）生成大量训练样本，并显著提升下游 DLVD 的 F1/Recall。工程落地建议包括：优先采用 Injection/Extension，保留聚类检索模块；在对成本敏感场景下开启轻量 Verifier（fuzzy parser）而非编译检查；为关键项目考虑人工/规则复核少量生成样本以降低潜在风险。

本文提出MCL-VD方法，通过多模态对比学习结合LoRA技术提升漏洞检测效果。该方法创新性地融合源码、AST和注释三模态信息，利用GPT-4o-mini补全缺失注释，为各模态设计独立LoRA适配器降低参数开销，并采用跨模态对比学习增强表示能力。实验表明，MCL-VD在三个主流数据集上F1值显著提升5.31%-11.68%，同时将可训练参数从125M缩减至1.77M，实现了检测精度与计算效率的平衡。该方法为资源受限环境下的高效漏洞检测提供了新思路。

燕山大学团队提出GTVD方法，通过构建全依赖程序图(FDPG)结合多层消息聚合(MLMA)和自适应加权(WAG)，有效提升函数级漏洞检测性能。该方法在三个公开数据集上的实验表明，相比现有基线模型，GTVD在准确率和召回率等指标上均有提升，尤其擅长处理程序中的长程依赖和复杂语义关系。研究为软件安全领域提供了新的图表示与聚合策略，未来可探索与LLM结合的混合方法。论文讨论了复杂图表示在工程实践中的成本效益平衡问题。

四川大学团队提出DeepVulHunter框架，通过多轮推理与相似代码检索优化LLM的漏洞检测能力。该框架构建结构化漏洞知识库，结合CodeT5P语义检索与三轮分析机制（示例学习→目标推理→独立验证），有效缓解代码长度偏差和推理幻觉问题。实验表明，基于Llama-405B的配置准确率达75.3%，较单轮推理提升显著。研究证明"检索+验证"范式能增强LLM的循证分析能力，为代码审计提供新思路，且无需修改模型结构即可适配不同规模LLM。

摘要：研究团队提出CodeGATNet框架，结合Transformer与注意力卷积机制进行源代码漏洞检测。该框架通过静态代码嵌入生成（SCEG）和卷积注意力特征精炼（CAN-FR）两阶段处理，有效捕获局部语法与全局语义依赖。实验表明，在FFmpeg等数据集上F1值最高达87.5%，较现有方法提升显著。该方案突破传统图模型限制，为自动化漏洞检测提供了轻量高效的解决方案。

本文提出VulCNN系统，通过多视图图表示实现源代码漏洞检测。该方法创新性地融合AST、CFG和PDG三种图结构，采用中心性分析生成多通道图像特征，并利用CNN和自适应权重融合层捕获跨视图语义。实验表明，VulCNN在Devign等数据集上的F1值达63.8%，显著优于传统图模型和主流LLM方法。该系统突破了单一图结构的局限性，通过多视角特征融合实现了程序语义的全面建模，为漏洞检测提供了可扩展的新范式。

CLeVeR提出了一种基于对比学习的漏洞代码表示方法，通过建立代码与漏洞描述的语义对齐来提升检测效果。该方法采用Adapter、Representation Refinement和Description Simulator三个模块，分别解决模态差异、语义不平衡和训练/推理输入不一致问题。实验表明，CLeVeR在VCLData、SynData和RealData三类数据集上均显著优于主流方法，F1值最高达98.03%，在真实工程代码上也达到72.82%的F1值。

摘要：论文《MPDA: A Data Augmentation Approach to Improve Deep Learning for Software Vulnerability Detection》提出了一种多视角数据增强方法MPDA，用于解决软件漏洞检测中样本稀缺和类别不平衡问题。该方法整合了过采样(OSS)、GAN生成和模糊采样(FSS)三种互补策略，并引入自动化选择算法为不同漏洞类型和下游模型匹配最优增强组合。

摘要：本文提出一种基于双图神经网络(DGVD)的漏洞检测方法，通过将序列嵌入作为图节点，有效融合代码语义与结构信息。该方法采用CodeBERT预训练和BiLSTM生成节点嵌入，结合GCN与GAT双网络架构，并引入多尺度特征增强模块。在CodeXGLUE数据集上的实验表明，DGVD在准确率和精确度上优于12种基线方法，验证了语义-结构联合建模的有效性。该研究为自动化漏洞检测提供了新思路，论文发表于《Information and Software Technology》2025年第177卷。

随着开源社区的快速发展，软件漏洞检测已成为保障系统安全的关键任务。传统的符号执行和规则匹配虽然有效，但容易产生高误报率，且难以适应复杂代码场景。深度学习方法的引入为自动化漏洞检测带来了新可能，但如何同时捕捉代码的语义信息与结构特征，依旧是一个核心挑战。