文章总结: ISSTA2026论文SAGE提出基于大语言模型的漏洞检测信号放大引导嵌入方法,通过在模型中间层接入任务条件化稀疏自编码器,分离漏洞相关特征与普通语义,提升检测精度。在BigVul等数据集上MCC指标更优,信噪比最高提升12.7倍,但离完全替代人工仍有距离,需解决跨文件依赖等问题。 综合评分: 86 文章分类: 漏洞分析,AI安全,安全工具,安全建设,解决方案
ISSTA 2026 论文解读丨大语言模型离替代人类挖漏洞还有多远?——评 SAGE:基于大语言模型的漏洞检测信号放大引导嵌入方法
原创
王凯 王凯
信息网络安全杂志
2026年7月1日 12:00 上海
在小说阅读器读本章
去阅读
引子
漏洞挖掘是网络与信息安全领域的核心技术,早期主要依靠静态分析、规则匹配和动态测试等方法,容易遇到扩展性差、路径爆炸、规则依赖强等问题;后来图神经网络把代码图结构引入,能更好地表示控制流和依赖关系,但仍然比较依赖外部结构。自2022年ChatGPT诞生,基于大语言模型(LLM)的漏洞挖掘成为了新的前沿方向,但现有方法容易在复杂真实代码里出现“看起来懂了,其实抓不住关键漏洞点”的问题。没有显式建模中间层信号的变化,等到最后一层再做判断时,真正有用的漏洞线索往往已经被稀释了。
论文速览
这篇发表于 ISSTA 2026 的论文 《SAGE: Signal-Amplified Guided Embeddings for LLM-based Vulnerability Detection》(CCF-A,直接接受率11%,99/888),由山东大学徐明辉、张悦、成秀珍教授课题组与南京大学吴昊教授课题组合作完成,提出了一种面向漏洞检测的新方法 SAGE。它的核心思路很清晰:不要只盯着模型最后一层的输出,而要去中间层把那些微弱的漏洞信号提前找到并放大出来,让大语言模型尽可能少疏漏。 为此,作者在大模型中间层接入了任务条件化的稀疏自编码器,用它把混杂在一起的表示拆开,让漏洞相关特征尽量和普通语义分离,再交给分类器判断。论文在 BigVul、PrimeVul 和 PreciseBugs 3个主流开源数据集、13种编程语言上做了全面测试,结果显示,SAGE 在多个基座模型上都取得了更好的 MCC(马修斯相关系数,是衡量漏洞二分类模型整体效果的重要指标),并且在跨语言、跨分布场景下更稳,作者还报告其内部信噪比最高可提升 12.7 倍。
深度剖析
这篇论文最有价值的地方,不仅只是结果更高就好,而是它把问题讲清楚了。过去很多工作都在提示、微调、强化学习上做文章,但大多还是围着最终输出转。SAGE 提醒我们:到了深层,模型更多在处理“整段代码在做什么”,真正和漏洞有关的细小线索反而会越来越弱。论文的分析显示,在深层里,漏洞信号占比甚至不到总激活强度的 5%。这说明问题未必是模型不会推理,而是有用信息没被保留下来。
SAGE 的好处就在这里。它像是在模型中间加了一个“筛子”:把和漏洞无关但很强的普通语义过滤掉,把真正关键但很弱的异常特征提出来。论文结果也说明,不少基线方法在新数据上会出现“高召回、低精度”的问题,说白了就是什么都怀疑有漏洞,误报很多;而 SAGE 虽然没有一味追求高召回,却能明显提高精度和 MCC,这对实际安全检测更有意义。
局限与展望
大语言模型离替代人类挖漏洞还有多远?即便有SAGE的优化,相关性能指标离完全满足安全服务行业的真实、复杂需求还有一定距离,比如跨文件依赖、超大项目、告警解释和修复建议等问题,还需要继续完善;漏洞挖掘智能体设计也将是未来的一个重要方向。
点评专家:王凯(哈尔滨工业大学(威海) 计算机科学与技术学院 教授)
原文标题:SAGE: Signal-Amplified Guided Embeddings for LLM-based Vulnerability Detection
原文作者:Zhengyang Shan, Xu Qian, Jiayun Xin, Minghui Xu,Yue Zhang, Zhen Yang, Hao Wu and Xiuzhen Cheng
期刊/会议:ISSTA 2026
DOI:https://dblp.org/rec/journals/corr/abs-2604-19031.html
版权与来源声明:本文依据《中华人民共和国著作权法》第二十四条之规定,为介绍、评选之目的,在此适当引用。原文版权归原作者所有。
信息网络安全
《信息网络安全》创刊于2001年,是由公安部主管,公安部第三研究所、中国计算机学会主办,面向国内外公开发行的国内首批信息安全类期刊之一,于2015年成为中国科技核心期刊,2017年成为中国科学引文数据库来源期刊,2018年成为中文核心期刊,2022年入选CCF计算领域高质量科技期刊分级目录。
中文核心期刊
中国科技核心期刊
中国科学引文数据库来源期刊
CCF计算领域高质量科技期刊
我们在不断努力和完善中,期待您的关注和支持!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:信息网络安全杂志 王凯 王凯《ISSTA 2026 论文解读丨大语言模型离替代人类挖漏洞还有多远?——评 SAGE:基于大语言模型的漏洞检测信号放大引导嵌入方法》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论