引言
大模型目前被广泛用于生成代码数据,能有效地提高研发效率。但LLM生成的代码中潜藏的安全漏洞,也成了悬在头顶的达摩克利斯之剑。最近,Llama-3的问世,不仅带来了新的代码生成能力,更配备了Code Shield这一安全检测利器,为LLM生成的代码筑起了一道坚固的防线。
腾讯朱雀实验室基于Llama-3开源的Code Shield项目,进行了相关的技术分析和实验测试。总体而言,Code Shield不仅为LLM生成的代码提供了安全检测的有效途径,更在误报率和扫描效率之间找到了平衡点。尽管当前开源版本的Code Shield在漏洞检测规则的使用上有所不足,但它的潜力巨大,只需根据项目需求添加相应的扫描检测规则,就能大幅提升检测成功率。
1. 概述
整体而言,Code Shield被嵌入了大模型部署的系统层面,专门对于LLM输入内容的代码安全进行监管和检测,其具体流程图如下图所示:
图1. Code Shield在生产部署环境中的流程图
2. 技术分析:双层扫描,快速精准
Code Shield通过两层扫描解决方案快速处理输入LLM生成的代码。根据Meta的技术报告,Code Shield将首先粗略扫描生成的代码,如果第一层扫描认为内容可疑,则进行更全面的分析。
Code Shiel