Large Language Models and Code Security: A Systematic Literature Review

要約

大規模な言語モデル（LLM）は、脆弱性の検出や修正などのセキュリティ関連のタスクを含む、さまざまなプログラミングタスクを自動化するための強力なツールとして浮上しています。
有望な機能にもかかわらず、既存のコードを作成または変更する必要がある場合、LLMSはプログラマーに知られていない脆弱性を導入する可能性があります。
コードを分析するとき、彼らは明確な脆弱性を逃したり、存在しないものを信号したりする可能性があります。
この系統的文献レビュー（SLR）では、さまざまなコード関連のタスクにLLMを使用することのセキュリティ利益と潜在的な欠点の両方を調査することを目指しています。
特に、最初に、コードの生成に使用される場合、LLMSが導入できる脆弱性の種類に焦点を当てます。
第二に、LLMSの機能を分析して、特定のコードで脆弱性を検出および修正し、選択のプロンプト戦略がこれら2つのタスクでのパフォーマンスにどのように影響するかを分析します。
最後に、LLMに対するデータ中毒攻撃が前述のタスクのパフォーマンスにどのように影響するかについての詳細な分析を提供します。

要約(オリジナル)

Large Language Models (LLMs) have emerged as powerful tools for automating various programming tasks, including security-related ones, such as detecting and fixing vulnerabilities. Despite their promising capabilities, when required to produce or modify pre-existing code, LLMs could introduce vulnerabilities unbeknown to the programmer. When analyzing code, they could miss clear vulnerabilities or signal nonexistent ones. In this Systematic Literature Review (SLR), we aim to investigate both the security benefits and potential drawbacks of using LLMs for a variety of code-related tasks. In particular, first we focus on the types of vulnerabilities that could be introduced by LLMs, when used for producing code. Second, we analyze the capabilities of LLMs to detect and fix vulnerabilities, in any given code, and how the prompting strategy of choice impacts their performance in these two tasks. Last, we provide an in-depth analysis on how data poisoning attacks on LLMs can impact performance in the aforementioned tasks.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google