VLAI-基于 RoBERTa 的自动漏洞严重性分类模型-计算机科学-机器学习-漏洞管理.pdfVIP

VLAI：基于RoBERTa的自动漏洞严重性分类模型

CédricBonhomme

ComputerIncidentResponseCenterLuxembourg

cedric.bonhomme@circl.lu[57B7A70D]

AlexandreDulaunoy

ComputerIncidentResponseCenterLuxembourg

alexandre.dulaunoy@circl.lu[44E6CBCD]

本2025-09-25

译

中摘要

1本文介绍了VLAI，一种基于变压器的模型，可直接从文本描述预测软件漏洞的严重程度。基

v

7于RoBERTa构建，VLAI在超过600,000个真实世界漏洞上进行了微调，并实现了超过82%的

0准确性来预测严重性类别，从而实现比手动CVSS评分更快且更一致的分类。该模型和数据集

6

3是开源的，并已集成到Vulnerability-Lookup服务中。

0

.

7

0主题：测量漏洞，利用或利用行为,漏洞管理的决策科学

5

2

:

v1介绍

i

x

r每年都会披露数千个新的软件漏洞，最初通常仅有简短的文字描述而没有官方严重性评分。安

a

全专家随后会使用通用漏洞评分系统（CVSS）等标准对这些漏洞进行分析并分配严重性等级。然而

这种手动评估过程可能需要数天时间，导致防御者在缺乏明确指导的情况下必须优先处理漏洞的关

键缺口。为填补这一空白，我们提出了VLAI（漏洞查询AI）——一个能直接根据描述预测漏洞严重

性的自然语言处理模型，在官方评分发布前提供预估结果。我们的方法采用经过微调的RoBERTa

变换器[10]对漏洞描述进行严重性分类，使安全分析师仅凭文本描述即可立即获得估算的严重等

级（即”VLAI分数”）。整个解决方案开源并集成到Vulnerability-Lookup服务中，为社区提供及时

的严重性预估和持续改进的模型。

2相关工作

早期自动评估漏洞严重性的工作使用了经典自然语言处理和机器学习技术。例如，统计模型被

训练用于根据漏洞描述预测CVSS指标或得分，取得不同程度的成功。深度学习的必威体育精装版进展使得更

准确的预测成为可能：Shahid等人（2021）[13]使用基于BERT的分类器（在一个名为CVSS-BERT

1

VLAI：基于RoBERTa的自动化漏洞严重性分类模型

的系统中）从描述中确定完整的CVSS向量，并报告计算出的严重性得分非常接近人类专家分配的

实际得分。行业从业者也对这一问题表现出兴趣；例如，PRIOn开发了自然语言处理模型来预测文

本中的CVSS基础分数和向量，指出官方评分延迟以及需要更快的风险评估需求。我们的工作沿袭

了这条研究路线，在一个更大规模的漏洞综合数据集上微调了一个基于Transformer的模型，并且

据我们所知，这是我们首次将此类模型开放并持续更新地集成到公共漏洞查询服务中的部署之一。

最近的研究也探索了语义相似性技术在结构化漏洞分类中的应用。Kota等人[9]提出了一种新

方法，使用跨编码器架构从CVE描述中预测CWE标识符。他们的研究利用MITRECWE分类

法的层次结构，并为CWE树的每一层训练单独的跨编码器模型。通过将这些模型与二元分类器相

结合，他们在近14,000个CVE条目上实现了72.1%的整体测试准确率和0.735的宏平均F1分

数。这项工作证明了语