计算机科学 > 人工智能
[提交于 2025年7月12日
]
标题: 当开发者援助变成安全债务:对LLM编码代理中不安全行为的系统分析
标题: When Developer Aid Becomes Security Debt: A Systematic Analysis of Insecure Behaviors in LLM Coding Agents
摘要: 基于大语言模型的编码代理正在软件开发中迅速部署,但其安全影响仍知之甚少。 这些代理虽然能够加速软件开发,但可能会无意中引入不安全的做法。 我们进行了首次对自主编码代理的系统安全评估,在93个真实世界的软件设置任务上,分析了五种最先进的模型(GPT-4o、GPT-4.1、Claude变体)超过12,000次操作。 我们的研究结果揭示了重大的安全问题:21%的代理轨迹包含不安全操作,不同模型在安全行为上表现出显著差异。 我们开发了一个高精度的检测系统,识别出四个主要漏洞类别,其中信息泄露(CWE-200)是最普遍的一种。 我们还评估了各种缓解策略,包括反馈机制和安全提醒,不同模型的效果各不相同。 GPT-4.1在安全意识方面表现出色,缓解成功率达到96.8%。 我们的工作提供了首个全面的编码代理安全评估框架,并强调了下一代基于大语言模型的编码代理需要具备安全意识的设计。
收藏
文献和引用工具
与本文相关的代码,数据和媒体
alphaXiv (什么是 alphaXiv?)
CatalyzeX 代码查找器 (什么是 CatalyzeX?)
DagsHub (什么是 DagsHub?)
Gotit.pub (什么是 GotitPub?)
Hugging Face (什么是 Huggingface?)
带有代码的论文 (什么是带有代码的论文?)
ScienceCast (什么是 ScienceCast?)
演示
推荐器和搜索工具
arXivLabs:与社区合作伙伴的实验项目
arXivLabs 是一个框架,允许合作伙伴直接在我们的网站上开发和分享新的 arXiv 特性。
与 arXivLabs 合作的个人和组织都接受了我们的价值观,即开放、社区、卓越和用户数据隐私。arXiv 承诺这些价值观,并且只与遵守这些价值观的合作伙伴合作。
有一个为 arXiv 社区增加价值的项目想法吗? 了解更多关于 arXivLabs 的信息.