ICSE 2026 前沿研究：利用大语言模型生成高质量软件漏洞数据

本文解读ICSE2026收录的VICS-LLM-VulGen研究成果，该工作通过提示工程优化大语言模型生成真实漏洞数据，对比GPT-4o、Claude、CodeLlama等多种模型的漏洞生成能力，并提出VICS框架显著提升生成质量，解决软件漏洞数据稀缺问题。

软件安全测试和漏洞检测模型训练依赖高质量漏洞数据，但真实世界漏洞数据稀缺（CVE数据库完整样本有限）。传统获取方式（人工标注、开源挖掘）成本高或模式单一，因此探索用大语言模型自动生成合成漏洞数据。

提出VICS（Vulnerability-Informed Contextual Structuring）框架，在提示中注入CWE分类、漏洞触发条件等结构化上下文。对比闭源（GPT-4o、Claude）、开源代码专用（CodeLlama 34B、DeepSeek Coder）、通用（Llama3、Qwen2.5）、推理增强（DeepSeek R1）等模型，结果具普适性。

围绕五个研究问题展开实验：RQ1样本生成流水线；RQ2数据集划分与编辑；RQ3与传统工具（VGX、VulGen）对比；RQ4用CodeQL验证生成样本与真实CVE的映射；RQ5基于RAG评估下游实用价值。技术栈包括Python、PyTorch、CodeQL、Joern等，项目开源（MIT许可）。

VICS框架显著提升生成样本的真实性和多样性。实用价值：1.为漏洞检测模型提供低成本数据增强；2.支持安全测试用例生成；3.作为安全培训材料；4.为静态分析工具提供基准样本。

局限：生成样本需人工/自动化过滤低质量输出；聚焦C/C++内存漏洞，缺乏其他语言和漏洞类型支持。未来方向：强化学习优化提示、多语言框架、自动验证流水线、多模态输入结合。