近日，我院软件与安全团队博士生叶振雷、硕士生肖怡然在孙小兵教授与薄莉莉副教授等老师的指导下，两项最新研究成果被ICSE 2026（International Conference on Software Engineering）国际学术会议全文收录，并将做大会报告。

研究工作一：Well Begun is Half Done: Location-Aware and Trace-Guided Iterative Automated Vulnerability Repair

大型语言模型（LLMs）的进展为自动化软件漏洞修复方法铺平了道路，这些方法通过迭代完善补丁，直到其变得合理。然而，现有基于LLM的漏洞修复方法在每次迭代修复过程中，LLM根据本地化工具提供的易受攻击函数和易受攻击代码段位置生成候选补丁,会严重影响迭代漏洞修复过程的有效性。该研究提出了LoopRepair，一种新颖的自动化漏洞修复方法，旨在通过位置感知的补丁生成和污点轨迹引导的补丁选择来改进迭代式修复策略。实验结果显示，在正确补丁生成方面，LoopRepair达到了最先进的性能，与现有的方法相比，修复了8到13个额外的漏洞。

研究工作二：Training on Clean Data but Getting Backdoored Models! A Poisoning Attack on Code Encoders

基于Transformer的代码编码器能从海量无标签源代码中学习通用表示，进而支持多种下游任务。以往的后门攻击通常通过向微调数据集中注入触发器实现，但这类攻击依赖一个强假设：攻击者能直接污染微调集且开发者不会察觉。该假设在现实中往往不成立。为此，该研究提出了一种更现实且的全新场景：攻击者直接中毒并发布中毒编码器。用户下载后，即使在干净数据集上对中毒编码器进行微调，所得模型仍会继承后门。实验结果表明，该方法能稳定实现高攻击成功率（平均约 91.6%），同时对模型在干净数据上的性能影响极小（平均下降约 1.3%）。

ICSE(国际软件工程大会)是“软件工程/系统软件/程序设计语言”领域的国际顶级学术会议，已有近50年的历史，也是中国计算机学会（CCF）认定的A类国际学术会议，在业界具有广泛而深远的影响。