SecPI: تولید کد ایمن با مدل‌های استدلال از طریق داخلی‌سازی استدلال امنیتی

TL;DR

• چکیده: مدل‌های زبان استدلال (RLM) به‌طور فزاینده‌ای در برنامه‌نویسی استفاده می‌شوند.
• با این حال،.
• حتی پیشرفته‌ترین RLMها اغلب آسیب پذیری‌های امنیتی حیاتی را در کد تولید شده معرفی می.

چه اتفاقی افتاد

چکیده: مدل‌های زبان استدلال (RLM) به‌طور فزاینده‌ای در برنامه‌نویسی استفاده می‌شوند. با این حال،.

حتی پیشرفته‌ترین RLMها اغلب آسیب پذیری‌های امنیتی حیاتی را در کد تولید شده معرفی می. کنند.

رویکردهای مبتنی بر آموزش قبلی برای تولید کد ایمن با یک محدودیت حیاتی روبرو هستند که از کاربرد. مستقیم آنها برای RLMها جلوگیری می‌کند:.

آنها بر مجموعه داده‌های امنیتی پرهزینه و تنظیم شده دستی تکیه می‌کنند که تنها مجموعه محدودی. از آسیب پذیری‌ها را پوشش می‌دهند.

در سطح استنتاج،. یادآوری‌های امنیتی عمومی‌به‌طور مداوم صحت عملکرد را کاهش می‌دهند در حالی که تنها تحلیل‌های آسیب‌پذیری موقتی کم.

عمق را آغاز می‌کنند. برای رسیدگی به این مشکلات،.

SecPI را ارائه می‌کنیم،. یک خط لوله تنظیم دقیق که به RLMها می‌آموزد تا استدلال امنیتی ساختاریافته را درونی کنند،.

و به‌طور پیش‌فرض،. بدون هیچ دستورالعمل امنیتی در زمان استنتاج،.

کد امن تولید می‌کنند. SecPI مجموعه داده‌های کدگذاری همه‌منظوره موجود را فیلتر می‌کند وظایف مرتبط با امنیت با استفاده از.

طبقه‌بندی‌کننده مبتنی بر LLM،. ردیابی‌های استدلال امنیتی با کیفیت بالا را با یک مدل معلم ایجاد می‌کند که توسط یک درخواست ساختاریافته.

هدایت می‌شود که به‌طور سیستماتیک CWE‌ها و اقدامات کاهشی مربوطه را برمی‌شمارد،. و مدل هدف را روی جفت ورودی‌ها بدون هیچ درخواست امنیتی و ردپای استدلالی امنیتی تنظیم می‌کند -.

در نتیجه،. به‌طور خودکار در مورد مدل دستورالعمل‌ها را یاد می‌گیرد.

ارزیابی گسترده در معیارهای امنیتی با پیشرفته‌ترین مدل‌های استدلال وزن باز،. اثربخشی رویکرد ما را تأیید می‌کند.

به‌عنوان مثال، SecPI درصد نسل‌های عملکردی صحیح و ایمن را برای QwQ 32B از 48. 2 ٪ به 62.

2 ٪ (+ 14. 0 امتیاز) در CWEval و از 18.

2 ٪ به 22. 0 ٪ در BaxBench بهبود می‌بخشد.

تحقیقات بیشتر همچنین تعمیم بین CWE و بین زبانی قوی فراتر از آسیب‌پذیری‌های آموزشی را نشان می‌دهد. حتی وقتی QwQ 32B که فقط بر روی CWEهای مربوط به تزریق آموزش دیده است،.

کد صحیح و ایمن را 9. 9 ٪ بیشتر در CWEهای نگهدارنده با ایمنی حافظه تولید می‌کند.

رمزنگاری و امنیت (cs. CR)؛ هوش مصنوعی (cs.

AI) استناد به‌عنوان: (یا v1 [cs. CR] برای این نسخه) https:.

// شده توسط arXiv از طریق DataCite (در انتظار ثبت نام) تاریخچه ارسال از:. Hao Wang [مشاهده ایمیل] [v1] شنبه،.

4 آوریل 2026،. 04:.

29:. 11 UTC (3,.

501 KB).

چرا مهم است

اهمیت این خبر در این است که روی استفاده واقعی از AI و تصمیم‌گیری سازمانی اثر می‌گذارد.

منبع

لینک منبع اصلی در کارت و صفحه مقاله نمایش داده می‌شود.