Appatch：基于自适应提示的大语言模型漏洞自动修复系统

Appatch是一款基于自适应提示的大语言模型（LLM）漏洞自动修复系统，核心通过漏洞语义推理和自适应提示技术引导LLM深入理解漏洞代码行为，生成高质量补丁。系统支持多种主流LLM（如Claude 3.5 Sonnet、GPT-4等），提供开源的代码实现与完整评估数据集，实验验证了其在漏洞修复质量与效率上的优势，为AI驱动的软件安全修复提供了重要基准。

软件漏洞修复是软件工程的挑战之一。传统自动程序修复（APR）技术在处理复杂真实漏洞时效果有限。LLM的代码理解与生成能力为漏洞修复带来新可能，但关键难题在于让LLM真正理解漏洞代码的行为——不仅识别模式，更要掌握漏洞的根本原因、触发条件、影响范围等语义层面内容。Appatch正是围绕这一核心问题构建的系统。

Appatch的两大创新点：

1. 漏洞语义推理：引导LLM分析漏洞的根本原因、触发条件、影响范围及修复需满足的语义约束，确保补丁语义合理而非仅语法正确；
2. 自适应提示：根据漏洞类型动态调整提示策略（如内存安全漏洞强调指针生命周期，输入验证漏洞关注边界检查等），支持多样化漏洞类型处理。

Appatch的实现与评估细节：

• 多模型支持：兼容Claude 3.5 Sonnet、GPT-4、Gemini 1.5 Pro、Llama 3.1等主流及开源LLM；
• 消融实验：设计noslice、rand_exemplars、fixed_exemplars等实验验证各组件贡献；
• 对比基线：与传统APR工具VulRepair、Getafix对比；
• 数据集覆盖：使用PatchDB+CVEFixes、zeroday_repair、extractfix_dataset等权威数据集评估。

Appatch探索与CodeQL的集成，验证实际工作流可行性：

• codeql_appatch：完全自动化的端到端实验；
• codeql_human_appatch：贴近现实的半自动化实验； 两者展示了从漏洞检测到修复生成的完整pipeline。

Appatch的实际意义：提升修复质量（减少新漏洞风险）、降低修复成本（自动化减少人工）、支持多模型、推理过程可解释。未来方向包括：支持更多编程语言框架、与CI/CD深度集成、自动验证修复方案、生产环境部署优化等。