Застосування великих мовних моделей для виявлення вразливостей програмного коду
DOI:
https://doi.org/10.33216/1998-7927-2025-298-12-38-46Ключові слова:
великі мовні моделі, вразливості коду, статичний аналіз, кібербезпека, GPT-4, штучний інтелект, рефакторингАнотація
У статті розглядається застосування великих мовних моделей (ВММ), зокрема GPT-4, для автоматизованого виявлення вразливостей у програмному коді. Сучасні методи статичного аналізу коду мають обмеження у виявленні складних вразливостей та контекстуальних загроз безпеці, що потребує розроблення нових підходів на основі технологій штучного інтелекту. Для оцінки здатності великих мовних моделей (ВММ) виявляти вразливості у програмному коді було проведено серію експериментів із використанням кількох поколінь моделей GPT, зокрема: Ada (350 млн параметрів), Curie (6,7 млрд), Davinci (175 млрд), а також найновішої моделі GPT-4 (≈1,7 трлн параметрів). На основі порівняльного аналізу з традиційним статичним аналізатором Snyk показано, що GPT-4 здатна виявляти більшу кількість вразливостей, охоплюючи ширший спектр загроз, а також пропонувати релевантні виправлення для їх усунення. У роботі використано 64 фрагменти коду на восьми мовах програмування, що охоплюють 33 категорії вразливостей згідно з класифікацією Common Weakness Enumeration (CWE). Експериментальне дослідження проведено шляхом порівняння результатів аналізу коду засобами GPT-4 та Snyk на ідентичних наборах тестових даних. Модель GPT-4 продемонструвала високу ефективність в автоматичному рефакторингу коду, зокрема забезпечила зниження рівня критичних вразливостей на 94% порівняно з початковим станом програмного коду. Окремо проаналізовано метрики точності виявлення загроз, частоту хибнопозитивних та хибнонегативних результатів, а також здатність моделі надавати детальні пояснення виявлених проблем безпеки. Особливою перевагою GPT-4 стала її здатність працювати в режимі автоматичного рефакторингу, що був закладений у варіаціях системного контексту. Результати дослідження свідчать про доцільність застосування ВММ як додаткового інструменту забезпечення безпеки програмного коду. Запропоновано можливості інтеграції великих мовних моделей у сучасні середовища безперервної інтеграції та розгортання (CI/CD) та окреслено перспективи гібридного застосування разом з класичними інструментами автоматизованого тестування безпеки програмного забезпечення.
Посилання
1. Голуб О. В. Інтеграція великих мовних моделей у системи захисту. Миколаїв: МНУ, 2023. 250 с.
2. Кравченко В. С. Класифікація соціальних інженерних атак: підходи та рішення. Чернівці: ЧНУ, 2023. 315 с.
3. Стеценко Н. Г. Інформаційна культура та кібербезпека. Херсон: ХДУ, 2020. 200 с.
4. Ткачук М. Ф. Виявлення та попередження атак соціальної інженерії. Ужгород: УжНУ, 2023. 230 с.
5. Шевченко Р. П. Моделювання загроз інформаційної безпеки. Суми: СумДУ, 2022. 275 с.
6. Detecting software vulnerabilities using Language Models URL: https://arxiv.org/pdf/ 2302.11773 (дата звернення: 15.01.2026)
7. Harnessing Large Language Models for Software Vulnerability Detection: A Comprehensive Benchmarking Study URL: https://ieeexplore.ieee.org/document/ 10879492 (дата звернення: 15.01.2026)
8. Software Vulnerability Detection using Large Language Models URL: https://medium.com/@balaram2018.dutta/ software-vulnerability-detection-using-large-language-models-b11ddf8d6c73 (дата звернення: 15.01.2026)
##submission.downloads##
Опубліковано
Номер
Розділ
Ліцензія
Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License.
