Sicheres Code‑Generieren lernen: Token‑Level Belohnungen im Fokus

Neues Forschungspapier auf arXiv zeigt, wie große Sprachmodelle (LLMs) ihre Code‑Generierung sicherer machen können. Trotz beeindruckender Leistungen bei der Erstellung von Programmcode produzieren LLMs häufig Sicherheitslücken, die in realen Anwendungen gefährlich sein können.

Die Autoren identifizieren zwei zentrale Schwachstellen der bisherigen Ansätze: Erstens fehlt es an qualitativ hochwertigem Sicherheitsdatensatz, und zweitens basieren die Reinforcement‑Learning‑Belohnungen auf zu groben, instanzbasierten Signalen, die wichtige Details übersehen.

Um diese Probleme zu lösen, stellen sie das Framework Vul2Safe vor. Das System nutzt die Selbstreflexion von LLMs, um aus echten Schwachstellen hochvertrauenswürdige Reparaturpaare zu generieren. Zusätzlich erzeugt es vielfältige implizite Prompt‑Varianten, die zur Erstellung des umfangreichen PrimeVul+‑Datensatzes führen.

Parallel dazu wird SRCode vorgestellt, ein neues Trainingsmodell, das token‑basierte Belohnungen im Reinforcement‑Learning einsetzt. Dadurch kann das Modell während des Trainings gezielt auf kritische, feinkörnige Sicherheitsmuster achten und diese verstärken – ein Ansatz, der bisher nur auf Instanz‑Ebene angewendet wurde.

Umfangreiche Experimente belegen, dass PrimeVul+ und SRCode die Anzahl von Sicherheitslücken in generiertem Code deutlich reduzieren und gleichzeitig die Gesamtqualität der Programme über mehrere Benchmarks hinweg verbessern.

Die vorgestellten Methoden markieren einen wichtigen Schritt hin zu vertrauenswürdigerer KI‑unterstützter Softwareentwicklung und eröffnen neue Möglichkeiten für die sichere Automatisierung von Code‑Generierung.