CE25 - Sciences et génie du logiciel - Réseaux de communication multi-usages, infrastructures numériques 2025

SecLLM4SVD: Modèles de Langage de Grande Taille Sécurisés pour une Détection Fiable des Vulnérabilités Logicielles Basée sur l'IA – SecLLM4SVD

Résumé de soumission

Les cyberattaques exploitant les vulnérabilités des logiciels deviennent de plus en plus sophistiquées. L'IA, en particulier les modèles de langage de grande taille (LLMs), a montré un potentiel prometteur pour automatiser la détection des vulnérabilités grâce à leur capacité à capturer les informations syntaxiques et sémantiques du code. Cependant, les LLMs sont vulnérables aux attaques adversariales, où de petites modifications d’entrée peuvent manipuler les résultats de détection, soulevant de sérieuses préoccupations quant à leur fiabilité dans la détection des vulnérabilités logicielles (SVD). Malgré cela, peu de recherches se sont concentrées sur la compréhension, l’atténuation ou l’évaluation de la stabilité de la détection basée sur les LLMs dans les problèmes de SVD. Ce projet vise à relever les défis de fiabilité rencontrés par les LLMs dans la détection des vulnérabilités logicielles, en particulier dans les implémentations de code manipulées de manière adversariale. Notre objectif principal est triple. Tout d’abord, nous explorerons et expliquerons les mécanismes par lesquels les LLMs identifient les vulnérabilités logicielles, avec pour but de développer un pipeline de détection explicable pour la SVD. Ensuite, nous créerons un cadre d’évaluation complet et quantifiable pour évaluer les faiblesses et les limitations des LLMs dans cette application de sécurité critique, en mesurant leur fiabilité dans les tâches de SVD. Troisièmement, nous concevrons des contre-mesures contre les attaques adversariales ciblant les LLMs dans les scénarios de SVD, en tirant parti des interactions humain-LLM. Nous évaluerons l'efficacité de ces approches "human-in-the-loop" pour améliorer la fiabilité et la robustesse des solutions basées sur les LLMs. Enfin, nous développerons un tableau de classement qui suivra et classera dynamiquement la robustesse des LLMs à la pointe de la technologie pour la SVD face aux attaques développées dans l’espace des problèmes.

Yufei Han (INSTITUT NATIONAL DE LA RECHERCHE EN INFORMATIQUE ET AUTOMATIQUE)

L'auteur de ce résumé est le coordinateur du projet, qui est responsable du contenu de ce résumé. L'ANR décline par conséquent toute responsabilité quant à son contenu.

Centre Inria de l'Université de Rennes INSTITUT NATIONAL DE LA RECHERCHE EN INFORMATIQUE ET AUTOMATIQUE
Luxembourg Institute of Science and Technology

Aide de l'ANR 320 249 euros
Début et durée du projet scientifique : - 42 Mois

Explorez notre base de projets financés

L’ANR met à disposition ses jeux de données sur les projets, cliquez ici pour en savoir plus.