2025年LLM与安全代码报告-.docxVIP

LLM与代码安全

大纲

1.LLM代码生成应用背景

1.LLM代码生成应用背景

2.LLM

2.LLM代码生成的安全问题

3.LLM代码安全

3.LLM代码安全生成的安全实践

4.AI

4.AI代码生成威胁

LLM应用广泛，逐渐渗透至各个领域

1.LLM代码生成应用背景

行业重大需求

代码生成安全是软件开发的一项基础性工作，必须重视和加强代码生成安全工作

Claude.ai的真实世界使用数据。这些数字指的是与Claude进行的对话中，涉及这些具体任务、职业和类别的百分比

OpenRouter上跟踪的使用LLMtoken量最大的应用

在LLM使用场景中，代码生成的相关需求远远高于其他类型任务

/news/the-anthropic-economic-indexhttps://openrouter.ai/rankings?view=month

代码开发新范式，LLM4CODE

能够根据上下文自动补全代码

能够根据注释描述自动补全代码

代码开发新范式，LLM4CODE

自动根据项目信息生成测试文件进行代码理解翻译

代码开发新范式，LLM4CODE

Claude、Copilot等已经可以生成仓库级代码项目

代码开发新范式，LLM4CODE

便捷的生成下安全隐患？

2.LLM代码生成的安全问题

代码开发新范式，AI提升开发速度

LLM提高了代码生产效率，但是安全性未必得到足够的关注

u目前聚焦的主要战场还在能力边界扩展u

u目前聚焦的主要战场还在能力边界扩展

u直接收益低

风险暂时不够突出

（安全数据、安全能力）

行业重大需求

代码生成安全是软件开发的一项基础性工作，必须重视和加强代码生成安全工作

AI生成代码已占主流AI代码生成工具写全球代码产出的

AI生成代码已占主流AI代码生成工具写

全球代码产出的出的代码漏洞占比的

41%45%

OWASP2025年LLM应用Top10风险

1、https://www.backslash.security/press-releases/backslash-security-reveals-in-new-research-that-gpt-4-1-other-popular-llms-generate-insecure-code-unless-explicitly-prompted

2、/OWASP-CHINA/owasp-project/owasp-59278/张坤--LLM应用程序OWASP十大安全风险2025发布版本.pdf

3、https://www.lasso.security/blog/owasp-top-10-for-llm-applications-generative-ai-key-updates-for-2025

4、/wp-content/uploads/2025_GenAI_Code_Security_Report_Final.pdf

5、/developer/article/2531263

评测为尺，风险现形：项目级AI生成代码安全性评测基准

A.S.E:ARepository-LevelBenchmarkforEvaluatingSecurityinAI-GeneratedCode

揭示实际repo场景的代码生成安全隐患，探索

揭示实际repo场景的代码生成安全隐患，探索

各模型在该场景的能力边界

Huggingface日榜周榜双第一

评测为尺，风险现形：项目级AI生成代码安全性评测基准

A.S.E:ARepository-LevelBenchmarkforEvaluatingSecurityinAI-GeneratedCode

评测为尺，风险现形：项目级AI生成代码安全性评测基准

A.S.E:ARepository-LevelBenchmarkforEvaluatingSecurityinAI-GeneratedCode

当前大模型安全编码能力显著薄弱A.S.E：业界首个项目级AI生成代码安全性评测框架

当前大模型安全编码能力显著薄弱

所评估的26个主流大模型均存在代码正确性优先、安全防护滞后的问题，表现最好的模型代码质量得分高达91.58，但安全得分仅46.72，且无任何模型安全得分突破50分。

“慢思考”推理模式无助于安全生成

更大的推理预算可能引入冗余逻辑或偏离安全目标，反而降低代码安全性；简洁直