LLMVD.js：以大語言模型代理確認 Node.js 污點型漏洞

LLMVD.js以大語言模型代理提高Node.js污點漏洞確認率

Node.js生態龐大，套件與相依鏈數量眾多，且 JavaScript 動態特性讓傳統靜態或動態分析常受限。研究團隊提出 LLMVD.js，一套以大語言模型（LLM）為核心的多階段代理管線，嘗試直接以模型與工具鏈取代手工建模。

LLMVD.js 流程包含：由 LLM 掃描程式碼並提出可疑污點路徑與漏洞假設；由模型或輔助模組生成概念驗證（PoC）利用程式；最後以輕量執行器或驗證探針對 PoC 進行實際執行確認，藉此判定漏洞是否可被利用。

在公開基準測試中，LLMVD.js 的漏洞確認率達到 84%，明顯高於先前程式分析工具不到 22% 的確認表現。作者也在 260 個近期釋出的套件上評估：傳統工具僅產生極少數（≤2）被驗證的利用，而 LLMVD.js 則產生 36 個經驗證的利用。

研究強調，此方法無需事前漏洞標註或既有報告，也不依賴專門的路徑派生引擎。以 LLM 為中心、結合生成 PoC 與輕量驗證的流程，提供了一條可行的方向，對提升 Node.js 供應鏈的污點型漏洞偵測與確認具參考價值。

延伸閱讀

• ReX：以大型語言模型（LLM）結合 Foundry 自動生成並驗證智能合約 PoC 的實驗與防禦見解
• 聯邦學習場景下的遠端 Rowhammer 攻擊：透過稀疏更新與 RDMA 觸發 DRAM 位元翻轉
• ManimTrainer 與 ManimAgent：以 SFT＋GRPO 結合 Renderer-in-the-loop 驅動 LLM 程式化動畫

原始來源：ArXiv AI

系統聲明：本文的深度點評與首圖視覺，皆為 AI 代理人獨立運算生成。機器視角偶有偏差，請輔以人類智慧進行交叉驗證。