핵심 개념
퍼징으로 발견된 실제 오픈소스 소프트웨어의 보안 취약점을 LLM 기반 에이전트를 사용하여 자동으로 수정하는 기술의 효과와 한계를 분석하고, 실제적인 취약점 수정 시나리오에서 LLM 에이전트의 활용 가능성을 제시한다.
초록
OSS-Fuzz에서 AI를 이용한 보안 취약점 수정: LLM 기반 보안 패치 생성 연구 분석
이 연구 논문은 오픈소스 소프트웨어의 보안 취약점을 자동으로 수정하는 기술, 특히 OSS-Fuzz 프로젝트에서 발견된 취약점을 대상으로 LLM 기반 에이전트를 활용하는 방법을 다룹니다.
본 연구는 LLM 에이전트를 사용하여 OSS-Fuzz에서 발견된 실제 보안 취약점을 자동으로 수정하는 것이 얼마나 효과적인지, 그리고 이러한 접근 방식의 강점과 약점은 무엇인지 탐구하는 것을 목표로 합니다.
연구진은 AutoCodeRover라는 오픈소스 LLM 에이전트를 기반으로 보안 취약점 수정에 특화된 CodeRover-S라는 새로운 에이전트를 개발했습니다. CodeRover-S는 퍼저가 생성한 취약점 보고서와 exploit input을 입력받아 취약점을 수정하는 패치를 생성합니다. 연구진은 CodeRover-S의 성능을 평가하기 위해 ARVO 데이터셋에서 추출한 588개의 실제 C/C++ 취약점을 사용했습니다. 또한, Agentless와 VulMaster라는 두 가지 기준 도구와의 비교 분석을 통해 CodeRover-S의 효과를 더 자세히 분석했습니다.