【论文笔记】A Systematic Evaluation of Parameter-Efficient Fine-Tuning Methods for the Security of Code LLMs

Title: A Systematic Evaluation of Parameter-Efficient Fine-Tuning Methods for the Security of Code LLMs

Authors: Kiho Lee, JUNGKON KIM, DOOWON KIM, HYOUNGSHICK KIM

Affiliations: ETRI, Republic of Korea; Samsung Research, Republic of Korea; University of Tennessee, Knoxville, Republic of Korea; Sungkyunkwan University, Republic of Korea;

PDF: https://arxiv.org/pdf/2509.12649

摘要： 本文系统地评估了7种参数高效微调（PEFT）方法在提升代码生成大模型（Code LLM）安全性方面的效果。研究发现，提示调优（Prompt-tuning） 在安全性和功能保持上表现最佳，能将安全代码生成率提升13.5个百分点。同时，通过优化解码温度（Temperature），安全率可进一步提升至87.65%。此外，PEFT方法还能有效增强模型对投毒攻击（Poisoning Attack）的鲁棒性。

关键词： 代码生成大模型、LLM安全、参数高效微调（PEFT）、提示调优（Prompt-tuning）、脆弱性

一、研究背景与动机

1.1 LLM生成代码的安全问题

• 严峻现状：尽管LLM极大地提升了开发效率，但其生成的代码中约有48% 存在安全漏洞，如SQL注入、硬编码凭证等。
• 其根本原因是：模型从包含大量不安全代码的公开仓库中学习，并复制了这些不良实践。
• 开发者认知偏差：仅23% 的开发者会期望AI生成安全的代码，这使得漏洞容易被忽视并带入生产环境。

1.2 现有方案的局限性

• Full fine-tunning：对模型所有参数进行更新，但可能导致功能正确性下降（高达40%），且计算成本高昂。
• 低成本现有方案：如SVEN，仅在小规模模型（2.7B参数）上使用前缀调优（Prefix-tuning），缺乏对更大规模模型、不同PEFT方法及其对抗鲁棒性的系统性评估。

1.3 研究目标

本文旨在通过大规模实验，系统回答三个核心研究问题：

• RQ1: Architecture-PEFT Interaction. —— 在7种主流PEFT方法中，哪一种在提升代码安全性方面最有效？
• RQ2: Vulnerability Pattern Analysis. —— PEFT方法对不同类型安全漏洞的缓解效果有何差异？
• RQ3: Adversarial Resilience. —— PEFT方法能否有效防御针对代码模型的投毒攻击？

相关概念补充（点击展开）

• 参数高效微调（PEFT）：一种只训练模型中少量额外参数，同时冻结大部分预训练权重的技术。它在保持模型原有能力的同时，能高效地将模型适应到特定任务。

• 本文评估的七种PEFT方法：

  • 提示调优（Prompt-tuning）：在输入层前添加一组连续、可训练的“虚拟”嵌入向量。
  • 前缀调优（Prefix-tuning）：在每个Transformer层的前面添加一组可训练的连续向量。
  • LoRA / QLoRA：在原始权重旁增加低秩分解矩阵进行训练，QLoRA进一步结合了4-bit量化。
  • P-Tuning：将可训练的虚拟令牌作为输入的一部分，并通过LSTM生成更灵活的提示。
  • (IA)³：对激活值进行缩放调节。
  • SVEN：一个专门用于安全的基线方法，结合了前缀调优和多目标损失函数。

• 常见弱点枚举（CWE, Common Weakness Enumeration）：一个对软件和硬件中常见安全弱点进行分类的系统。本文重点评估了包括SQL注入（CWE-89）、路径遍历（CWE-22）等13种关键CWE类型。

二、实验设计与方法

2.1 数据集构建

• 初始来源：Py150k数据集（14万+ Python代码片段）。

• 安全清洗流程：

  • 静态分析：使用Bandit、Semgrep、Snyk三款工具检测原始代码中的漏洞，共发现42,753个漏洞。
  • 自动修复：对部分可自动修复的漏洞进行修复。
  • 人工审查：对剩余疑似有漏洞的代码片段，由三位安全专家进行为期三周的手工修复与验证。
  • 最终成果：构建了一个包含140,668个安全且功能正常的代码片段数据集，用于模型微调。

2.2 模型与设置

• 目标LLMs：选取了8个主流代码模型，包括CodeGen (6B)、CodeGen2 (1B, 7B, 16B)、CodeLlama (7B)等，参数量从1B到16B不等。

• 微调过程：对所有7种PEFT方法在8个模型上进行微调，使用了DeepSpeed库加速训练，累计消耗超过2,800 GPU小时。

2.3 评估指标

• 编译成功率（Compilation-Rate, CR）：生成的代码能通过编译的比例。

• 安全率（Secure-Rate, SR）：在编译成功的代码中，通过全部三项静态安全检测的比例。

• 总体安全率（Overall-Secure-Rate, OSR）：最终安全的代码占所有生成代码的比例（$OSR = CR × SR$）。这是最核心的评价指标。

三、主要发现与结果分析

3.1 RQ1：哪种PEFT方法最有效？—— 提示调优（Prompt-tuning）表现最佳

• 最佳结果：在CodeGen2 16B模型上，提示调优达到了最高的总体安全率 **80.86%**，相比基础模型的67.28%提升了13.5个百分点。
• 关键优势：提示调优不仅安全率高，而且保持了很高的编译成功率（95.47%），即在提升安全性的同时，几乎不影响代码的功能正确性。
• 方法性能排序：总体来看，输入层条件方法（提示/前缀调优） 在安全任务上显著优于参数层修改方法（LoRA, (IA)³）。

3.2 RQ2：对不同漏洞的效果如何？—— 存在“漏洞复杂性层级”

• 高效缓解：对于具有明确语法模式的漏洞，如命令注入（CWE-78） 和SQL注入（CWE-89），提示/前缀调优能达到约 92% 的降低率。
• 效果有限：对于需要上下文语义推理的漏洞，如路径遍历（CWE-22） 和硬编码凭证（CWE-798），PEFT方法的提升效果微乎其微。
• 核心洞察：当前PEFT方法更像是一种“模式识别”增强器，能很好地学习并应用安全模式，但难以处理需要复杂逻辑和状态理解的漏洞类型。

3.3 额外关键发现：解码温度（Temperature）的巨大影响

• 出人意料的结果：研究发现，在推理阶段提高解码温度，能显著提升生成代码的安全性。
• 最佳实践：使用较高的温度（0.8 - 1.0） 时，安全性能提升尤为明显。例如，结合提示调优和T=1.0，CodeGen2 16B模型的总体安全率飙升至 **87.65%**。
• 原因分析：
  • 增加多样性：高温使模型的输出概率分布更均匀，从而生成更多样化的代码，这有助于跳出安全或不安全模式的“惯性”。
  • 探索“安全绿洲”：实验证明，高温能促使模型探索到训练数据中稀有但安全的编码模式，其出现频率从12.4%（T=0.0）提升到28.7%（T=1.0）。

3.4 RQ3：对投毒攻击的防御能力？—— 能有效提升鲁棒性

• 攻击场景：使用TrojanPuzzle攻击方法，在模型训练数据中植入后门触发器。
• 防御效果：
  • 未防御的受攻击模型触发了19个漏洞。
  • 经过提示/前缀调优后，成功将触发漏洞总数降至7个。
  • 对于XSS（CWE-79） 和不安全的反序列化（CWE-502） 两种攻击，提示调优实现了完全消除。

3.5 功能性与代码质量

• 功能性无损：PEFT方法在提升安全性的同时，没有牺牲代码的功能正确性。在HumanEval基准测试上，部分方法（如提示/前缀调优）的通过率甚至略有提升。
• 代码风格差异：与人类编写的代码相比，经过PEFT微调后的LLM生成的代码更简洁、圈复杂度更低、可维护性指数更高，但同时也更“密集”（Halstead Volume更高），可能意味着奖带来更高的认知负荷。

四、结论

1. 首推方法：对于希望提升代码模型安全性的开发者，提示调优（Prompt-tuning）是最有效且最高效的选择，应作为首选基线方法。
2. 关键技巧：使用较高的解码温度（如0.8-1.0） 。
3. 明确边界：需要认识到当前PEFT方法的局限性——这类方法的特点都是擅长修复模式化的漏洞，但无法解决需要深度语义理解的复杂安全问题。
4. 额外收益：PEFT还能提高模型面对偷毒工具的鲁棒性。