评分 7.0 · 来源:arXiv · 发布于 2026-03-18
评分依据:从函数级到仓库级的漏洞检测评估升级,自动化生成 + 对抗共进化循环,直接可复现
要点
现有漏洞检测基准大多以函数为中心,无法反映真实项目中跨过程的可执行场景。本文提出自动化基准生成器,能向真实仓库注入逼真的漏洞,并合成可复现的 PoV(Proof-of-Vulnerability)漏洞利用代码,为 repo 级漏洞检测 Agent 提供精标注数据。进一步提出了注入 Agent 与检测 Agent 之间的对抗共进化循环,以提升检测模型在真实约束下的鲁棒性。
🤖 AI 点评
代码安全领域一直缺少大规模、可复现的仓库级评估数据。函数级 benchmark 上刷分很容易,但现实中漏洞往往是跨文件、跨模块的交互导致的。这个工作的自动化生成思路切中要害——手动构建 repo 级测试集确实不可扩展。对抗共进化循环也很有意思:让注入和检测互相博弈,可能产生比人工构造更难发现的漏洞模式。不过作为博士论文,当前还处于方法论层面,距离工业级工具还有距离。