原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
LLM与代码安全;
LLM与代
码安全
主要分享
路线;
LLM应用广泛,逐渐渗透至各个领域;
1.LLM代码生成应用背景;
行业重大需求;
能够根据上下文自动补全代码
能够根据注释描述自动补全代码;
代码开发新范式,LLM4CODE;
代码开发新范式,LLM4CODE;
代码开发新范式,LLM4CODE;
2.LLM代码生成的安全问题;
代码开发新范式,AI提升开发速度;;
评测为尺,风险现形:项目级AI生成代码安全性评测基准;
评测为尺,风险现形:项目级AI生成代码安全性评测基准;
当前大模型安全编码能力显著薄弱
所评估的26个主流大模型均存在代码正确性优先、安全防护滞后的问题,表现最好的模型代码质量得分高达91.58,但安全得分仅46.72,且无任何模型安全得分突破50分。
“慢思考”推理模式无助于安全生成
更大的推理预算可能引入冗余逻辑或偏离安全目标,反而降低代码安全性;简洁直接的快思考推理模式,在仓库级安全漏洞修复中更高效。
大模型代码片段级安全优势无法迁移
仓库级场景需大模型处理跨文件调用链、
构建系统依赖等需求,而多数大模型仅擅长孤立代码生成,仅极少数模型具备项目级安全理解能力。;
3.LLM代码安全生成的安全实践;;
CWE-BENCH-PYTHON:构建提示词质量评估基准;
REFLEXGEN:低成本、高效率、高安全的轻量化解决方案;
实验验证;;;;
AI组件供应链威胁模型产品
精准识别30+AI框架组件,覆盖近400个已知CVE漏洞,包括Ollama/ComfyUI/vLLM等
MCP组件恶意潜在执行难发现
检测9大类MCP安全风险(如工具偷毒、数据窃取等),支持源代码/远程URL扫描
LLM红队测试
对LLM进行红队安全测试;
A.I.G(AI-Infra-Guard):AIRedTeamingPlatform
本项目自2025年初开源以来,已在Github上被1800+全球用户点赞关注,获得DeepSeek官方推荐,入选全球安全顶会BlackHat兵器谱。;
4.AI代码生成威胁;
uAI代码生成威胁
u生成属性上的直接风险
u生成代码的风险
u生成和应用架构上的安全缺陷
u……
u间接风险
u……
u武器化风险
u……;
Python侧;
MCP相关安全问题;;;
LLM作为一个黑箱,会是一个隐蔽的攻防战场
而代码生成这个场景就是第一战场
文档评论(0)