MalCodeAI：基于语言无关代码推理的自主漏洞检测与修复

随着网络威胁日益复杂化，传统漏洞检测工具的局限性促使我们需要创新的软件系统安全方法。我们引入了MalCodeAI，这是一种语言无关的多阶段AI管道，用于自主代码安全分析和修复。

MalCodeAI结合了代码分解和语义推理，使用经过微调的Qwen2.5-Coder-3B-Instruct模型，在MLX框架内通过低秩适应（LoRA）进行优化，能够在14种编程语言中提供可扩展且准确的结果。

技术实现细节

第一阶段：模型在200次迭代、6个可训练层和学习率为2×10⁻⁵的条件下，实现了功能分解和代码段摘要的验证损失低至0.397。

第二阶段：在漏洞检测和修复方面，使用相同迭代次数和可训练层数，但将学习率提高至4×10⁻⁵，实现了最佳验证损失0.199，有效识别安全漏洞并建议可操作的修复方案。

系统特性

MalCodeAI支持红队风格的漏洞利用追踪、基于CVSS的风险评分，以及零样本泛化能力，能够检测复杂的零日漏洞。

评估结果

在涉及15名开发人员的定性评估中，该系统在实用性（平均8.06/10）、可解释性（平均7.40/10）和输出可读性（平均7.53/10）方面获得高分，证实了其在真实开发工作流程中的实用价值。

这项研究标志着向智能、可解释且以开发人员为中心的软件安全解决方案迈出了重要一步。