בעידן הדיגיטלי שבו פגיעויות בקוד מאיימות על עסקים ישראליים רבים, מחקר חדש בוחן כיצד מודלי שפה גדולים (LLM) יכולים לשפר את זיהוי הפגיעויות האלה באופן אוטומטי. החוקרים השוו שלוש גישות מתקדמות: יצירת תוכן מוגברת-חיפוש (RAG), כוונון עדין מפוקח (SFT) ומסגרת דו-סוכנים, מול מודל בסיסי. המחקר מדגיש את הפוטנציאל של LLM בזיהוי פגיעויות בקוד, תוך התמקדות בחמש קטגוריות קריטיות של CWE: 119, 399, 264, 20 ו-200. (72 מילים)
הגישה הטובה ביותר הייתה RAG, ששילבה ידע חיצוני מהאינטרנט ומאגר הנתונים של MITRE CWE, והשיגה דיוק כולל של 0.86 וציון F1 של 0.85. מאגר הנתונים נאסף מ-Big-Vul ומאגרי קוד אמיתיים בגיטהאב, מה שמבטיח רלוונטיות למציאות. גישת RAG בולטת בזכות העשרת ההקשר, שמאפשרת למודל להתמודד טוב יותר עם פגיעויות מורכבות. החוקרים מדווחים כי שיטה זו מציעה יתרון משמעותי על פני מודלים בסיסיים. (92 מילים)
גישת SFT, שיושמה באמצעות מתאמי QLoRA יעילי פרמטרים, הראתה ביצועים חזקים אף היא. מערכת הדו-סוכנים, שבה סוכן משני בודק ומשפר את הפלט של הראשון, הבטיחה שקיפות טובה יותר בהיגיון ושיפור בטיפול בשגיאות, עם צריכת משאבים נמוכה יותר. כל הגישות האלה עלו על המודל הבסיסי, ומוכיחות כי שילוב מנגנוני מומחיות תחומית מחזק את היישום המעשי של LLM בזיהוי פגיעויות בקוד. (88 מילים)
המחקר מדגיש את החשיבות של העשרת ידע חיצוני ושיפור תהליכי בדיקה, במיוחד בעולם שבו פגיעויות כמו Buffer Errors (CWE-119) או Resource Management (CWE-399) גורמות נזקים כבדים. לעסקים ישראליים בתחום ההייטק, שמתמודדים עם אלפי שורות קוד יומיות, הגישות הללו מציעות כלים אוטומטיים לחיסכון בזמן ובמשאבים. בהשוואה לשיטות מסורתיות, LLM מביאים מהירות וגמישות גבוהות יותר. (85 מילים)
הממצאים מרמזים על עתיד שבו זיהוי פגיעויות בקוד באמצעות LLM יהפוך לסטנדרט, עם דגש על RAG כמובילה. מנהלי IT ואבטחה צריכים לשקול אימוץ כלים כאלה כדי להגן על מערכותיהם. השאלה היא: האם החברות שלכם מוכנות לשלב AI בבדיקות קוד? (68 מילים)
סה"כ 405 מילים.