LLMVD.js: Pipeline di Agenti AI per il Rilevamento di Vulnerabilità in Node.js
Una nuova pipeline di agenti multi-stadio chiamata LLMVD.js utilizza modelli linguistici di grandi dimensioni (LLM) e ragionamento potenziato da strumenti per rilevare e confermare vulnerabilità di tipo taint, come l'iniezione arbitraria di comandi, in pacchetti Node.js. L'approccio affronta le sfide poste dalle caratteristiche dinamiche di JavaScript e dalle estese dipendenze dei pacchetti, con cui l'analisi tradizionale dei programmi fatica. La pipeline scansiona il codice, propone vulnerabilità, genera proof-of-concept di exploit e li convalida tramite oracoli di esecuzione leggeri. La ricerca è dettagliata in un articolo su arXiv (2604.20179v1), evidenziando il potenziale dei metodi incentrati sugli LLM per la sicurezza della supply chain del software.
Fatti principali
- LLMVD.js è una pipeline di agenti multi-stadio per il rilevamento di vulnerabilità in pacchetti Node.js.
- Si rivolge a vulnerabilità di tipo taint come l'iniezione arbitraria di comandi.
- La pipeline include scansione del codice, proposta di vulnerabilità, generazione di exploit e convalida.
- Utilizza LLM e ragionamento potenziato da strumenti.
- L'ecosistema Node.js ha milioni di pacchetti critici per le supply chain del software.
- L'analisi tradizionale dei programmi fatica con JavaScript dinamico e le dipendenze.
- La ricerca è pubblicata su arXiv con ID 2604.20179v1.
- La convalida avviene tramite oracoli di esecuzione leggeri.
Entità
Istituzioni
- arXiv