AgenticSCR: An Autonomous Agentic Secure Code Review for Immature Vulnerabilities Detection

📄 arXiv: 2601.19138v1 📥 PDF

作者: Wachiraphan Charoenwet, Kla Tantithamthavorn, Patanamon Thongtanunam, Hong Yi Lin, Minwoo Jeong, Ming Wu

分类: cs.CR, cs.AI, cs.LG, cs.SE

发布日期: 2026-01-27

备注: Under Review

💡 一句话要点

AgenticSCR:一种用于检测早期漏洞的自主智能体安全代码审查方法

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 安全代码审查 Agentic AI 早期漏洞检测 大型语言模型 静态分析 代码安全 智能体 预提交

📋 核心要点

  1. 现有静态分析工具(SAST)在预提交阶段的安全代码审查中,难以有效检测早期、上下文相关的漏洞。
  2. AgenticSCR利用Agentic AI,结合LLM、自主决策和工具调用,并引入安全语义记忆,提升漏洞检测能力。
  3. 实验表明,AgenticSCR在早期漏洞检测方面显著优于静态LLM和SAST工具,正确注释率提升至少153%。

📝 摘要(中文)

安全代码审查在预提交阶段至关重要,必须在严格的延迟和有限的上下文约束下尽早发现漏洞。现有的基于SAST的检查方法存在噪声,并且经常遗漏早期、依赖上下文的漏洞,而独立的LLM受到上下文窗口的限制,并且缺乏显式的工具使用。Agentic AI结合了LLM与自主决策、工具调用和代码导航,提供了一种有前景的替代方案,但其在预提交安全代码审查中的有效性尚未得到充分理解。本文介绍了AgenticSCR,一种用于安全代码审查的Agentic AI,用于检测预提交阶段的早期漏洞,并由安全相关的语义记忆增强。我们使用自己策划的、专门针对预提交安全代码审查的早期漏洞基准,实证评估了AgenticSCR在定位、检测和解释早期漏洞方面的准确性。结果表明,AgenticSCR的正确代码审查注释百分比比基于静态LLM的基线高出至少153%,并且大大超过了SAST工具。此外,AgenticSCR在五种漏洞类型中的四种中生成了更正确的注释,始终且显着优于所有其他基线。这些发现突出了Agentic安全代码审查的重要性,为新兴的早期漏洞检测研究领域铺平了道路。

🔬 方法详解

问题定义:论文旨在解决预提交阶段安全代码审查中,现有静态分析工具(SAST)和独立大型语言模型(LLM)难以有效检测早期(immature)、上下文相关的漏洞的问题。SAST工具噪声大,易漏报,而LLM受限于上下文窗口和缺乏工具使用能力。

核心思路:论文的核心思路是利用Agentic AI,构建一个自主的智能体(Agent),该智能体能够自主决策、调用工具、导航代码,并结合安全相关的语义记忆,从而更有效地检测早期漏洞。通过赋予智能体自主性和工具使用能力,弥补了传统SAST和独立LLM的不足。

技术框架:AgenticSCR的整体框架包含以下几个主要模块:1) 代码接收模块,接收待审查的代码片段;2) 智能体控制模块,负责智能体的决策和行动;3) 工具调用模块,允许智能体调用各种安全分析工具;4) 代码导航模块,使智能体能够在代码库中自由导航;5) 语义记忆模块,存储安全相关的知识和经验,辅助智能体进行漏洞检测。智能体通过与这些模块交互,完成漏洞的定位、检测和解释。

关键创新:AgenticSCR的关键创新在于将Agentic AI应用于预提交阶段的安全代码审查,并结合了安全相关的语义记忆。与传统的静态分析方法相比,AgenticSCR具有更强的自主性和上下文理解能力,能够检测更复杂的早期漏洞。与独立的LLM相比,AgenticSCR能够通过工具调用和代码导航,获取更全面的信息,从而提高漏洞检测的准确性。

关键设计:论文中关于智能体的具体设计细节(例如,决策策略、工具选择机制、语义记忆的构建方式等)以及关键参数设置、损失函数、网络结构等技术细节未详细描述,属于未知信息。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,AgenticSCR在检测早期漏洞方面显著优于静态LLM和SAST工具。AgenticSCR的正确代码审查注释百分比比基于静态LLM的基线高出至少153%,并且在五种漏洞类型中的四种中生成了更正确的注释,始终且显着优于所有其他基线。这些数据表明AgenticSCR在实际应用中具有显著的优势。

🎯 应用场景

AgenticSCR可应用于软件开发的预提交阶段,帮助开发人员尽早发现和修复安全漏洞,降低安全风险。该研究成果有助于提升软件安全性,减少安全事件的发生,并可推广到其他安全相关的代码分析任务中,例如漏洞预测、代码审计等。未来,该技术有望集成到CI/CD流程中,实现自动化安全审查。

📄 摘要(原文)

Secure code review is critical at the pre-commit stage, where vulnerabilities must be caught early under tight latency and limited-context constraints. Existing SAST-based checks are noisy and often miss immature, context-dependent vulnerabilities, while standalone Large Language Models (LLMs) are constrained by context windows and lack explicit tool use. Agentic AI, which combine LLMs with autonomous decision-making, tool invocation, and code navigation, offer a promising alternative, but their effectiveness for pre-commit secure code review is not yet well understood. In this work, we introduce AgenticSCR, an agentic AI for secure code review for detecting immature vulnerabilities during the pre-commit stage, augmented by security-focused semantic memories. Using our own curated benchmark of immature vulnerabilities, tailored to the pre-commit secure code review, we empirically evaluate how accurate is our AgenticSCR for localizing, detecting, and explaining immature vulnerabilities. Our results show that AgenticSCR achieves at least 153% relatively higher percentage of correct code review comments than the static LLM-based baseline, and also substantially surpasses SAST tools. Moreover, AgenticSCR generates more correct comments in four out of five vulnerability types, consistently and significantly outperforming all other baselines. These findings highlight the importance of Agentic Secure Code Review, paving the way towards an emerging research area of immature vulnerability detection.