基于大语言模型的零样本漏洞修复研究
https://www.secrss.com/articles/60745
文章设计并实现了如下图所示的 LLM 评估框架,首先将存在安全漏洞的原始程序输入到安全工具中测试,然后采用 CodeQL 来管理和分析程序源代码和漏洞信息;然后,将程序源代码、注释等信息按照预置的 Prompt 模板生成 Prompt,并输入到待评估的 LLM 中,借助 LLM 的代码预测能力完成漏洞的修复;最后,将修复后的程序按照第一步相同的测试用例进行安全测试,验证漏洞是否修复成功,同步进行功能性验证,确保程序可以正常运行。
新思路:
- 用 CodeQL 分析源代码和漏洞信息
- 将源码、注释等信息按照预设模板生成 Prompt,喂给 LLM
- 借助 LLM 自动生成 nuclei poc