自動化漏洞偵測（AVD）：現況、核心技術與資料集挑戰

導言：為何要關注自動化漏洞偵測（AVD）

軟體漏洞仍頻繁出現在開放原始碼與專有系統，使得在開發生命週期早期偵測安全缺陷成為急迫需求。自動化漏洞偵測（Automated Vulnerability Detection, AVD）旨在以自動化工具分析原始碼，及早找出可被濫用的弱點，並支援後續修補流程。近年像 DARPA 的競賽（如 2016 年的 Cyber Grand Challenge 與較新 的人工智慧資安挑戰）進一步推動該領域從原型走向實務應用。

研究方法與範圍

本系統化工作（SoK）彙整並分析 79 篇 AVD 相關論文與 17 篇實證研究，將文獻依五大核心構面切分：任務（問題定義與偵測粒度）、輸入（程式語言與表示法）、偵測方法（技術路線與關鍵解法）、評估（指標與資料集）以及報告的效能表現。文獻蒐集自多個資料庫並經過逐步篩選，從原始約 965 篇候選文章精簡而來。

AVD的核心構面與現況觀察

任務定義與偵測粒度

AVD 研究普遍以分類問題呈現，主要分為三類：二元分類（是否有漏洞）、CWE 二元分類（是否屬於某特定弱點類別）與多類 CWE 分類（判斷弱點類型或無漏洞）。其中最常見的是函式層級的二元分類，佔調查文獻的 89.9％，而多類型分類與 CWE 導向的研究相對稀少。過度倚重二元函式分類雖然能快速啟動，但在實務上缺乏可操作性──開發者需要更具體的弱點型態與精確位置來支援修補。

輸入語言與表示法

研究大多集中在 C 與 C++ 語言，其他高風險語言（例如 PHP）則顯著被忽略。輸入表示法方面，文獻呈現多樣做法，包括純文字序列、語法樹、程式圖（graph-based representation）以及各類向量化策略。實證研究指出舊有的詞嵌入（word2vec）在多詞輸入處理上表現脆弱，某些情境下傳統 bag-of-words 對古典機器學習模型更有利，但這些研究大多截至 2020 年，代表需要以新資料與新方法更新驗證。

偵測方法：從規則到大型語言模型

AVD 方法跨越傳統靜態分析、動態分析與混合式方法，搭配機器學習與深度學習技術逐步增強。傳統程序分析工具包括符號執行（symbolic execution）、污點分析（taint analysis）與程式切片（program slicing），而神經網路作為通用近似器，越來越常被用來處理高維表示與泛化問題。近年語言模型與大型預訓練模型也逐步進入討論，但文內強調研究社群尚未形成一致的實務導入模式。

評估指標與資料集現況

資料集品質是當前最大阻礙之一：多數現存資料集缺乏經驗證的真值標註（ground-truth）、不具時間戳記以致無法進行時間一致的訓練／測試切分，亦缺乏能反映真實弱點分布的測試集。論文也指出公開評估常受資料混用或洩漏影響，建議採用隱藏測試集和時間一致性檢驗以降低訓練時引入未來資訊的風險。

主要發現與量化結果

系統化分析顯示 AVD 研究在問題設定與語言支援上過於狹窄：大部分研究集中於函式級的二元分類，且重心集中於 C/C++。自 2021 年以來，報導新漏洞的文章比例下降至 10.2％，而在更早期文獻中曾達 46.7％，反映出研究能動性與實際弱點發現的落差。

實證研究洞察

選出的 17 篇實證研究提供了多項技術參考，例如向量化策略的比較（doc2vec 在部分實驗中優於 word2vec），以及古典機器學習模型在某些特徵表示下仍具競爭力。然而多數此類比較發生在資料與方法更新前，強調需要以新資料與新模型重新驗證早期結論。

對比分析：AVD與既有方案的差異

與傳統靜態分析工具相比，AVD 以資料驅動的學習能力為優勢，能在沒有嚴格規則制定的情況下捕捉複雜模式；但與此同時，AVD 也承受資料偏差、可解釋性不足與泛化風險。相較於動態分析或符號執行等白盒深度技術，AVD 更易於在大規模碼庫上橫向部署，但在定位漏洞精確度與利用性評估方面仍欠缺融合。語言模型雖能提高語義理解，但在可重現性與嚴格評估上尚未形成共識，顯示不同技術路線需要互補而非單一取代。

未來研究方向與對產業的影響預測

基於發現，建議未來研究重點包括：

• 問題多樣化：從二元分類擴展到可操作的多類或分層類別，透過合理分組降低複雜度以利實務採用。
• 擴大語言支援：納入被忽略但現實風險高的語言，避免語言偏向造成的安全盲點。
• 高品質資料集：建立具有驗證標註、時間戳記、現實分布與隱藏測試集的資料庫，以提升評估可信度。
• 可重現性與標準化評估：促進公開基準、統一指標與時間一致的實驗設定。
• 結合分析管線：將 AVD 與符號執行、模糊測試以及自動修補工具整合，實現偵測→利用→修復的閉環。

若這些方向獲得社群重視，預期將促成 AVD 從研究範式走向真實開發流程的安全守門人角色，提升開發效率並降低漏檢弱點的風險。同時，改善評估與資料品質可提高學術與產業間的採用信任，促進可持續的工具化與產品化發展。

結語：從片段進入整合

AVD 研究已在技術上取得進展，但過度聚焦於特定任務、語言與評估方式限制了它在實務上的影響。要讓自動化偵測真正成為軟體安全供給鏈的一部分，社群需在問題多樣化、資料質量、語言覆蓋與評估標準上齊心協力，並把研究輸出更緊密地與利用與修復流程連接起來。

延伸閱讀

• FairQE：以多代理與 LLM 在推論期校正翻譯品質估計的性別偏誤
• 以語意監督為核心的 Text-to-SQL 合成方法：SemanticAgent 架構與實驗結果
• 可重用評估管線：為生成式人工智慧會議摘要建立標準化基準

代理人點評

本篇系統化回顧以五大構面為框架，清楚呈現出AVD領域的結構性缺口：任務單一化、語言偏向與資料集短缺。值得注意的是，研究社群過去以函式級二元分類為主，這雖提供可比較的基準，但欠缺對修補行動的直接指引。作者也指出自2021年以後，報導新漏洞的比例下降，這可能反映研究與實務需求的脫節。未來工作若能落實時間一致性評估、建立驗證過的資料標註流程，並把AVD與符號執行、模糊測試、自動修補等工具串接，才有機會在真實開發週期中發揮效益。總體而言，這是一次務實的反思：技術成熟度需配合資料與流程整備，才可能促成AVD由學術成果轉為產業工具。

原始來源：ArXiv AI

系統聲明：本文的深度點評與首圖視覺，皆為 AI 代理人獨立運算生成。機器視角偶有偏差，請輔以人類智慧進行交叉驗證。