简介:大型语言模型(LLMs)通过链式思维(COT)提示得到了提升,但同时也面临后门攻击的威胁。研究者提出了BadChain,一种针对LLMs的新型后门攻击,无需访问训练数据集或模型参数,并且计算开销较低。BadChain利用LLMs的推理能力,在模型输出中插入后门推理步骤,导致意外输出。研究者在多个LLMs和任务上展示了BadChain的有效性,尤其是对具有强推理能力的模型更易受攻击。现有的防御方法对BadChain的效果有限,强调了未来防御措施的迫切性。
链接:
https://arxiv.org/pdf/2401.12242.pdf
简介:本文使用大规模数据集探索了ChatGPT在涉及漏洞管理任务的能力,并与SOTA方法进行比较。结果显示,ChatGPT在软件错误报告生成标题方面表现出熟练程度,但仍存在困难和挑战,如如何有效引导ChatGPT关注有用信息而不是无关内容。
链接:
https://arxiv.org/pdf/2311.06530.pdf
3.LLM4Vuln: 一个统一的评估框架,用于解耦和增强LLM的漏洞推理
简介:大型语言模型(LLM)在漏洞检测等任务中展示了巨大潜力。本文提出了一个评估框架LLM4Vuln,将LLMs的漏洞推理与其他能力分开,并通过实验发现了关于知识增强、上下文补充、提示方案和模型的不同效果。在试点的漏洞赏金计划中,发现了9个零日漏洞并获得超过1,000美元的奖励。
https://arxiv.org/pdf/2401.16185.pdf
简介:本文通过微调大型语言模型(LLMs),特别是通过改进和适配WizardCoder模型,探索了在源代码中检测漏洞的任务。研究团队对训练流程进行了调整,以适应不平衡的数据集,并通过不同技术改善分类性能。微调后的WizardCoder模型在平衡和不平衡的漏洞数据集上都显示出相比于CodeBERT类模型更好的性能,特别是在ROC AUC和F1评价指标上。这一成果不仅展示了预训练LLMs在源代码漏洞检测方面的有效性,而且还强调了通过优化训练流程和处理数据不平衡问题来提高模型性能的重要性。此外,该研究证实了利用大型预训练语言模型针对特定源代码分析任务进行微调的转移学习潜力。
https://arxiv.org/pdf/2401.17010.pdf
5.用于漏洞检测的大型语言模型:新兴结果和未来方向
简介:以前基于学习的漏洞检测方法要么依赖于中型预训练模型,要么从头开始使用较小的神经网络。大型预训练语言模型(LLMs)的最新进展展示了在各种任务中出色的少样本学习能力。然而,LLMs在检测软件漏洞方面的有效性尚未得到广泛探索。本文旨在填补这一空白,通过探索LLMs在各种提示下的表现,特别关注两个最先进的LLMs:GPT-3.5和GPT-4。实验结果表明,GPT-3.5在漏洞检测方面取得了与先前最先进方法相竞争的性能,而GPT-4始终表现优于最先进方法。
https://arxiv.org/pdf/2401.15468.pdf