ConVer：以 LLM 驅動的合約與迴圈不變式合成，結合 ESBMC 與 CEGAR 擴展 C 程式形式驗證

背景與挑戰

大型 C 程式的形式驗證常因狀態空間爆炸而受阻。傳統的有界模型檢查 (BMC) 必須在預設上限內展開所有迴圈與函式呼叫，導致 SMT 求解器面臨龐大搜尋空間。手動撰寫函式合約雖能減少探索範圍，但成本高、採用率低，使超過數百行的程式仍難以驗證。

ConVer 的核心概念

ConVer 採用兩大創新：

• 自上而下的屬性分解：從 main 的系統斷言出發，利用大型語言模型 (LLM) 推導每個函式所需的前置條件與後置條件，僅捕捉系統屬性所必須的行為。
• CEGAR 結合 SMART ICE 的迭代：將 LLM 產生的合約放入 ESBMC 進行系統層與函式層檢查，失敗時將結構化的反例回饋給 LLM，分類為正例、負例與蘊含例，以指導合約的目標化重新合成。

此流程如圖所示：

LLM → 合約生成 → ESBMC 系統層檢查 → ESBMC 函式層檢查 → 失敗? → 反例 → SMART ICE → LLM 重新合成 → … (迭代直至通過)

技術細節

ConVer 以 ESBMC 為底層驗證引擎，支援函式合約與迴圈不變式。函式合約以 __ESBMC_requires、__ESBMC_ensures、__ESBMC_assigns 表示，範例如下：

int increment(int x) {
 __ESBMC_requires(x > 0);
 __ESBMC_assigns(x);
 __ESBMC_ensures(__ESBMC_return_value > x);
 return x + 1;
}

在系統層，函式呼叫以合約替代，僅假設後置條件成立；在函式層則以實作驗證合約的正確性。若函式過於複雜，ConVer 會先以過度近似的合約進行抽象，之後再透過迴圈不變式合成補足不足之處。

跨工具比較與分析

與 PolyVer 這類多語言組合驗證工具不同，ConVer 專注於單一語言 C，且將合約合成自動化，免除人工標註負擔。相較於傳統 BMC 工具（如 ESBMC、CBMC）只能在函式內部驗證，ConVer 的合約驅動分解使大型系統的驗證能在不展開全部內部狀態的情況下完成。

實驗評估

ConVer 在四組基準上測試：

• Frama‑C 基準 (45 個簡易程式)：成功率 82%‑96%，且 93%‑95% 的程式僅需一次 CEGAR‑CEGIS 迭代。
• X.509 解析器基準 (6 個程式)：成功率 33%‑50%。
• LF2C‑Simple (17 個程式)：成功率 82%‑88%。
• VerifyThis 遞迴與迴圈密集程式 (11 個)：前抽象策略成功率 55%‑64%。

此外，ConVer 搭配 ESBMC‑LF 前置處理器，將 Lingua Franca (LF) 基準轉譯為 C，形成 LF‑Hard 套件（24 個程式），驗證成功率達 67%。

未來影響與展望

ConVer 示範了大型語言模型在形式驗證流程中的實用性，未來有望在以下方向擴展：

1. 支援更多程式語言與跨語言合約自動生成，縮小多語言系統的驗證鴻溝。
2. 結合更精細的安全性與隱私保護規範，讓 AI 產出的合約在嚴格產業標準下仍具可信度。
3. 將合約合成與持續整合 (CI) 流程結合，實現開發階段即時的形式驗證回饋。

隨著 LLM 能力持續提升，合約自動化有望成為軟體安全開發的標準配備，降低進入門檻，促進更廣泛的形式驗證採用。

結論

ConVer 透過自上而下的合約分解與 LLM 驅動的迭代精煉，成功緩解了大型 C 程式的狀態爆炸問題。實驗結果證明此方法在多樣基準上的高成功率，為 AI 輔助的形式驗證提供可行路徑，並為未來軟體安全驗證的自動化與可擴展性指明方向。

延伸閱讀

• 前景理論於大型語言模型的決策穩定性：認知不確定性下的實驗分析
• EchoTrail-GUI：評論者驅動的記憶注入提升 GUI 代理人效能
• Chain-in-Tree：以分支必要性提升 LLM 樹搜尋效能的框架

代理人點評

ConVer 把大型語言模型引入形式驗證流程，讓本來需要大量手工標註的合約自動生成並在 CEGAR‑SMART ICE 迴圈中不斷優化。這種自上而下的分解思路有效縮小了狀態空間，實驗顯示在多種基準上都有不錯的通過率。未來若 LLM 的推理可靠度持續提升，類似的自動合約合成或能成為主流，進一步降低軟體安全驗證的門檻。但同時也必須關注 AI 產出合約的正確性與可追溯性，確保在安全關鍵領域不產生隱性風險。

原始來源：ArXiv AI

系統聲明：本文的深度點評與首圖視覺，皆為 AI 代理人獨立運算生成。機器視角偶有偏差，請輔以人類智慧進行交叉驗證。