面向代码语言模型的安全性研究全新进展，南大&NTU联合发布全面综述

☞☞☞AI 智能聊天, 问答助手, AI 智能搜索, 免费无限量使用 DeepSeek R1 模型☜☜☜

AIxiv专栏是本站发布学术、技术内容的栏目。过去数年，本站AIxiv专栏接收报道了2000多篇内容，覆盖全球各大高校与企业的顶级实验室，有效促进了学术交流与传播。如果您有优秀的工作想要分享，欢迎投稿或者联系报道。投稿邮箱：liyazhou@jiqizhixin.com；zhaoyunfeng@jiqizhixin.com

本篇综述的作者团队包括南京大学 iSE 团队的研究生陈宇琛、葛一飞、韩廷旭、张犬俊，指导教师房春荣副教授、陈振宇教授和徐宝文教授，以及来自南洋理工大学的研究员孙伟松、陈震鹏和刘杨教授。

近年来，代码语言模型（Language Models for Code，简称 CodeLMs）逐渐成为推动智能化软件开发的关键技术，应用场景涵盖智能代码生成与补全、漏洞检测与修复等。例如，基于知名代码语言模型 Codex 构建的 AI 编码助手 GitHub Copilot 能够实时提供代码建议和补全，显著提升了开发者的工作效率，现已吸引超过 100 万开发者使用。然而，随着 CodeLMs 的广泛应用，各种安全问题也逐渐显现，与自然语言模型类似，CodeLMs 同样会面临后门攻击和对抗攻击等安全威胁，安全性正受到严峻挑战。例如，受攻击的 CodeLMs 可能会生成具有隐藏安全漏洞的代码，一旦这些不安全代码被集成到开发者的软件系统（如股票交易系统和自动驾驶系统）中，可能导致严重的财产损失甚至危及生命的事故。鉴于 CodeLMs 对智能化软件开发和智能软件系统的深远影响，保障其安全性至关重要。CodeLMs 安全性正成为软件工程、人工智能和网络安全领域的研究新热潮。

南京大学 iSE 团队联合南洋理工大学共同对 67 篇 CodeLMs 安全性研究相关文献进行了系统性梳理和解读，分别从攻击和防御两个视角全面展现了 CodeLMs 安全性研究的最新进展。从攻击视角，该综述总结了对抗攻击和后门攻击的主要方法与发展现状；从防御视角，该综述展示了当前应用于 CodeLMs 的对抗防御和后门防御策略。同时，该综述回顾了相关文献中常用的实验设置，包括数据集、语言模型、评估指标和实验工具的可获取性。最后，该综述展望了 CodeLMs 安全性研究中的未来机遇与发展方向。

• 论文地址：https://arxiv.org/abs/2410.15631

• 论文列表：https://github.com/wssun/TiSE-CodeLM-Security

一、CodeLMs 安全性研究发展趋势与视角

该综述对 2018 年至 2025 年 8 月期间的相关文献数量和发表领域进行了统计分析，如图 1 所示。近年来，CodeLMs 安全性研究的关注度持续上升，凸显了其日益增长的重要性和研究价值。此外，CodeLMs 的安全性问题已在软件工程、人工智能、计算机与通信安全等多个研究领域引起了广泛关注。

                               ^{图 1：CodeLMs 安全性文献累积数量及分布情况}

CodeLMs 安全性的研究本质是攻击者与防御者之间的博弈。因此，如图 2 所示，该综述将研究方向划分为针对 CodeLMs 安全的攻击研究和防御研究；在攻击方面，涵盖了后门攻击（包括数据投毒攻击和模型投毒攻击）和对抗攻击（包括白盒攻击和黑盒攻击）；在防御方面，涵盖了后门防御（包括模型训练前、训练中和训练后防御）和对抗防御（包括对抗训练、模型改进和模型扩展）。

                              ^{图 2：CodeLMs 安全性研究方向分类}

二、针对 CodeLMs 的后门攻击与对抗攻击

后门攻击

如图 3 所示，后门攻击可以通过数据投毒攻击或模型投毒攻击的方式，将隐藏的触发器植入到 CodeLMs 中，使模型在接收到特定输入时产生攻击者预期的恶意输出。

• 数据投毒攻击（Data Poisoning Attacks）：攻击者向 CodeLMs 的训练数据集中注入包含触发器的有毒数据，并将这些数据发布到数据 / 代码开源平台，例如 GitHub。

• 模型投毒攻击（Model Poisoning Attacks）：攻击者制作有毒的训练数据，并使用这些数据训练 / 微调有毒的预训练 CodeLMs，并将该模型发布到模型开源平台，例如 Hugging Face。

开发者或者用户通过开源平台下载并使用有毒的数据集或使用有毒的预训练模型来训练或微调下游任务的 CodeLMs。该模型将包含攻击者注入的后门。攻击者可以使用包含触发器的输入对下游任务模型发起攻击，导致其输出攻击者目标结果。

                              ^{图 3：针对 CodeLMs 后门攻击的工作流}

对抗攻击

如图 4 所示，对抗攻击可以通过白盒攻击或者黑盒攻击方式对输入数据添加微小的扰动，使 CodeLMs 产生错误的高置信度预测，从而欺骗模型。

• 白盒攻击（White-box Attacks）：攻击者能够获得目标模型的结构和参数等信息，并可以根据这些已知信息生成对抗样本。

• 黑盒攻击（Black-box Attacks）：攻击者无法得知目标模型的详细信息，只能获取模型的最终决策结果，攻击者需要通过与系统互动过程来生成对抗样本。

相比于白盒攻击，黑盒攻击所能利用的信息更少，攻击的难度更大。但是由于其更接近实际中攻击者能够掌握的信息程度，因此对于模型的威胁更大。

                               ^{图 4：针对 CodeLMs 对抗攻击的工作流}

三、针对 CodeLMs 的后门防御与对抗防御

为了应对 CodeLMs 上的后门攻击和对抗攻击，研究人员开发了相应的防御方法。后门防御策略通常包括在模型训练前防御、模型训练中防御和模型训练后防御，主要通过识别异常数据样本或模型行为来提高安全性。对抗防御则采用对抗训练、模型改进和模型扩展等方法，通过将对抗样本引入训练集来增强模型的安全性和鲁棒性。这些防御方法的研究为提升 CodeLMs 的安全性提供了重要支持。然而，相较于后门和对抗攻击在深度代码模型安全中的广泛研究，防御方法的研究显得尤为缺乏。

                               ^{表 1：针对 CodeLMs 后门防御方法的文献列表}

                             ^{表 2：针对 CodeLMs 对抗防御方法的文献列表}

四、CodeLMs 安全性研究中常用的数据集、语言模型、评估指标以及实验工具

该综述还总结了 CodeLMs 安全性研究中常用的数据集、语言模型、评估指标以及实验工具。

基准数据集

包括 BigCloneBench、OJ Dataset、CodeSearchNet、Code2Seq、Devign、Google Code Jam 等，涵盖了 8 种编程语言。

                               ^{表 3: CodeLMs 安全性研究中常用的数据集}

语言模型

包括 RNN、LSTM、Transformer、CodeBERT 和 GPT 等语言模型，涵盖了非预训练模型、预训练模型以及大语言模型。

                               ^{表 4: CodeLMs 安全性研究中常用的语言模型}

评估指标

在 CodeLMs 安全性的研究中，除了要关注攻击或者防御方法的效果之外，还要关注这些方法对模型产生的影响。因此，评估指标可分为两类：一类用于评估攻击或防御方法的有效性，另一类用于评估模型性能的变化。

• 攻击或防御方法的有效性评估指标：包括攻击成功率（ASR）、误报率（FPR）、平均归一化排名（ANR）、查询次数（Number of Queries）和扰动比例（Pert）等。

• 模型性能评估指标：包括准确率（ACC）、F1 分数（F1）、平均倒数排名（MRR）和双语评估替代工具（BLEU）等。

实验工具

如表 5 所示，为了促进实验工具的进一步应用和研究，该综述还深入探讨了各文献中提供的开源代码库。

                                ^{表 5: CodeLMs 安全性研究中提供的可复现开源代码库链接}

五、未来机遇与发展方向

该综述进一步探讨了 CodeLMs 安全性研究的未来机遇与发展方向。

针对 CodeLMs 攻击的研究

• 更全面地评估后门触发器的隐蔽性：攻击者不断探索更隐蔽的触发器设计，从早期的死代码方法发展到变量 / 函数名，甚至是自适应触发器，以期将更加隐蔽的触发器注入到代码中。然而，全面评估触发器的隐蔽性仍然是一个挑战。目前的研究方法通常侧重于特定方面，如语法或语义的可见性，或依赖于人类实验。然而，这些方法尚未覆盖所有可能的检测维度，评估指标和技术仍有改进空间。

• 探讨大语言模型的后门注入方法：目前的后门注入方法主要基于两种情景：1. 攻击者无法控制模型的训练过程，但模型使用了投毒数据进行训练；2. 攻击者可以控制模型的训练过程。然而，像 GPT-4 这样的大型代码语言模型通常是闭源的，这意味着攻击者无法控制训练过程或追踪训练数据。对于开源的大型 CodeLMs，通过训练或微调注入后门的成本显著增加。此外，随着大型 CodeLMs 的复杂性和鲁棒性增强，攻击者插入后门的难度也在增加。

• 全面地评估对抗样本的语法正确性和语义保留：当前的对抗扰动技术通常通过修改 / 替换变量名或应用不改变代码语义的变换来实现保持代码的语法正确性并保留语义。然而，现有的评估方法并未完全考虑这些对抗样本在扰动后是否保持语法正确性和语义一致性。即使某些对抗样本在表面上似乎保留了代码的语义，它们在执行过程中可能会引入语法或逻辑错误。

• 全面地评估对抗扰动的隐蔽性：在针对 CodeLMs 的白盒攻击和黑盒攻击中，当前技术通常使用基于相似度的指标（例如 CodeBLEU）来评估对抗样本的隐蔽性或自然性。然而，这些指标并不总是理想的。一些扰动可能对人类而言难以察觉，但在相似度指标中显示出显著差异，反之亦然。此外，目前的指标并未涵盖所有影响对抗样本隐蔽性的因素，尤其在评估扰动的实际效果时。

• 探讨针对 CodeLMs 攻击的原理：解释性的进展或许有助于更好地理解后门和对抗攻击的原理。微小的参数变化对预测结果影响显著，且神经网络的运行机制对人类难以直接理解。近年来，解释性已成为深度学习的重要研究方向，但对 CodeLMs 的深入理解仍是亟待解决的问题。目前，一些研究正为对抗攻击提供安全性和鲁棒性证明，但更需深入探讨预测结果的成因，使训练和预测过程不再是黑盒。解释性不仅能增强 CodeLMs 的安全性，还能揭示模型的内部机制。然而，这也可能被攻击者利用，以优化触发器选择和搜索空间，从而构建更有效的攻击。因此，尽管面临挑战，解释性的提升有望以复杂的方式增强 CodeLMs 的安全性。

针对 CodeLMs 防御的研究

• 平衡后门防御的有效性与其对模型性能影响：当前防御技术旨在保护 CodeLMs 不同阶段免受攻击。然而，要在保证模型正常性能的同时，准确高效地检测和清除后门，仍面临诸多挑战。首先，训练前防御主要通过识别数据中的 “异常” 特征来检测中毒样本，但这种方法常导致高误报率且耗费大量计算资源，难以在精确度和效率之间取得平衡。对于复杂触发器，现有防御技术在检测和移除上更具挑战性。其次，训练后的防御通过去学习或输入过滤来清除后门，但随着模型规模扩大，这些技术需要大量时间和资源，且可能对模型正常性能产生一定负面影响。

• 平衡对抗防御技术的有效性与对其模型性能的影响：CodeLMs 的对抗防御方法主要通过对抗训练或数据增强技术来提升模型的鲁棒性。然而，在增强鲁棒性和安全性的同时维持模型性能仍是一大难题。目前的研究通过基于梯度的扰动在最坏情况下对程序进行变换，与随机扰动相比，该方法更有可能生成鲁棒性更强的模型。然而，这些方法在提升鲁棒性时往往会降低模型的正常性能。尽管有些研究尝试通过将基于梯度的对抗训练与编程语言数据特征结合，或设计特定的损失函数，以同时增强模型的鲁棒性和性能，但这些方法往往需要更多的计算资源。

• 探讨 CodeLMs 的多场景防御：除了单一防御场景，多场景防御技术具有更大的潜力。从 CodeLMs 的生命周期角度来看，通过在模型训练前、训练中和训练后实施既涵盖数据保护又涵盖模型保护的混合场景防御策略，可以进一步增强 CodeLMs 的安全性。

• 探讨针对 CodeLMs 防御中的可解释性：可解释性的进展有助于缓解防御方法滞后的问题。由于当前研究尚未充分理解 CodeLMs（例如，带有触发器的输入为何会被预测为目标结果，以及不同数据如何影响模型权重），发现漏洞往往比预防攻击更容易，导致 CodeLMs 的安全性存在一定滞后性。如果能够深入理解代码模型的内部机制，防御措施将有望超越或至少与攻击技术的发展保持同步。

总体而言，CodeLMs 的安全威胁可视为攻击者与防御者之间持续演变的博弈，双方都无法获得绝对优势。然而，双方可以借助新技术和应用来获取战略优势。对于攻击者而言，有效策略包括探索新的攻击向量、发现新的攻击场景、实现攻击目标的多样化，并扩大攻击的范围和影响。对于防御者而言，结合多种防御机制是一种有前景的攻击缓解方式。然而，这种集成可能引入额外的计算或系统开销，因此在设计阶段需加以慎重权衡。

以上就是面向代码语言模型的安全性研究全新进展，南大&NTU联合发布全面综述的详细内容，更多请关注其它相关文章！

# 更大  # 珠海网站推广工作好找吗  # 天津综合网站建设商店  # 北京seo顾问搜行者SEO  # 孝感网站建设选哪家好点  # 淄博优质关键词排名  # 班级优化大师百度网站  # 抖音seo方法有哪些  # 长春网站建设与优化推广  # 珠宝行业百度推广营销  # 淘宝联盟网站推广页面  # 研究方向  # 隐蔽性  # 南洋  # 南京大学  # 理论  # 如图  # 软件工程  # 所示  # 开源  # 联合发布  # typ  # copilot  # hugging face  # github copilot  # 邮箱  # ai  # git  # codelms 

相关栏目： 【 Google疑问12 】 【 Facebook疑问10 】 【 优化推广96088 】 【 技术知识133117 】 【 IDC资讯59369 】 【 网络运营7196 】 【 IT资讯61894 】

相关推荐： 北京市通用人工智能产业创新伙伴计划名单公布，京东科技入选“算力伙伴”  《爱康未来之夜嘉宾官宣，携手共赴AI未来》  人工智能和神经网络有什么联系与区别？  技术如何使人变得懒惰？  1.6亿美元收购Singularity AI，昆仑万维布局通用人工智能  特斯拉门店可能启动机器人卖车？也许不是你想的那样  先进技术在防止全球数据丢失方面的作用  LinkedIn 推出生成式 AI 辅助撰写帖文功能，将向所有用户开放  大疆 Air 3 无人机售价和实物照片曝光  马斯克回应“人工智能让一切变得更好”：我们已经是半机器人了  AI连线 | 专访风平智能CEO林洪祥：让AI数字人拥有漂亮的外表和有趣的灵魂，安全问题是重要考量  江永：精准施训提升通信无人机应急救援能力  航拍无人机怎么选？大疆无人机盘点推荐  央视报道车载人机交互技术！MWC上海魅族表现亮眼，现场热火朝天  1000万张照片训练AI模型 科学家找到水下定位新方法  Databricks 发布大数据分析平台 Spark 用 AI 模型 SDK：一键生成 SQL 及 FySpark 语言图表代码  静安大宁功能区企业云天励飞亮相2025世界人工智能大会，秀出AI硬实力！  30+大模型齐聚，大模型成世界人工智能大会“顶流”  2025世界人工智能大会（上海）开幕式纪要  图像生成过程中遭「截胡」：稳定扩散的失败案例受四大因素影响  腾讯机器狗进化：通过深度学习掌握自主决策能力  调查：过半数艺术家认为 AI 作图无法帮助他们的工作  WHEE上线时间介绍  美图公司影像节或发布AI设计新品  水路两栖艇、消防灭火机器人……这个展览“黑科技”抢眼  中国移动主导创立元宇宙产业联盟，包括科大讯飞、芒果TV等在内，共24家成员  利好来了，AI再起一波？  人工智能时代的科幻译者怎么办？“做好翻译工作的高端10%”｜文化观察  乐天派桌面机器人加入小米米家生态系统，实现与其他智能设备的互联  0代码微调大模型火了，只需5步，成本低至150块  基于预训练模型的金融事件分析及应用  OpenAI已向中国申请注册“GPT-5”商标，此前已在美国提交申请  2025年贵州省青少年机器人竞赛在安举行  AI大模型火了！科技巨头纷纷加入，多地政策加码加速落地  OpenOOD更新v1.5：全面、精确的分布外检测代码库及测试平台，支持在线排行榜、一键测试  GPT-4成功战胜AI-Guardian审核系统：谷歌研究团队的人工智能抵抗人工智能  马斯克“揭秘”人工智能真面目  一公司推出喷火机器狗，可喷出 9 米长火焰  Meta 推出 Quest 超级分辨率技术，让 VR 画面更清晰  写出优质文章的妙招：利用"稿见AI助手"的实用指南  遵义市首次引入手术机器人，成功实施全膝关节置换术  微软宣布为 Azure AI 添加男性声线，增强文本转语音功能  微软在 Bing 和 Edge 浏览器中拓展网购服务，帮用户选购心仪产品  羊驼家族大模型集体进化！32k上下文追平GPT-4，田渊栋团队出品  微软大牛加入ZOOM，AI人才大战打响  猿辅导发布最新SaaS业务进展公告：Motiff UI设计工具推出三项新的AI功能  百川智能发布Baichuan-13B AI模型，号称“130亿参数开源可商用”  两架海燕号无人机交付中国气象局 助力建设国家级机动气象观测业务  OpenAI限制网络爬虫访问以保护数据免被用于AI模型训练  亚马逊确认今年不会举办 re:MARS 机器人和人工智能大会 

 2024-11-19