Generación de Código Seguro mediante Aprendizaje por Refuerzo en Línea con Modelo de Recompensa por Vulnerabilidades
Secure Code Generation via Online Reinforcement Learning with Vulnerability Reward Model
February 7, 2026
Autores: Tianyi Wu, Mingzhe Du, Yue Liu, Chengran Yang, Terry Yue Zhuo, Jiaheng Zhang, See-Kiong Ng
cs.AI
Resumen
Los modelos de lenguaje grandes (LLM) se utilizan cada vez más en el desarrollo de software, pero su tendencia a generar código inseguro sigue siendo una barrera importante para su implementación en el mundo real. Los métodos existentes de alineación de código seguro a menudo sufren de una paradoja funcionalidad-seguridad, mejorando la seguridad a costa de una degradación sustancial de la utilidad. Proponemos SecCoderX, un marco de aprendizaje por refuerzo en línea para la generación de código seguro que preserva la funcionalidad. SecCoderX primero conecta la detección de vulnerabilidades y la generación de código seguro reutilizando recursos de detección maduros de dos maneras: (i) sintetizando diversas tareas de codificación que inducen vulnerabilidades, basadas en la realidad, para los despliegues de RL en línea, y (ii) entrenando un modelo de recompensa de vulnerabilidad basado en razonamiento que proporciona una supervisión de seguridad escalable y confiable. Juntos, estos componentes se unifican en un bucle de RL en línea para alinear los LLM de código y que generen código seguro y funcional. Experimentos extensos demuestran que SecCoderX logra un rendimiento de vanguardia, mejorando la Tasa de Seguridad Efectiva (ESR) en aproximadamente un 10% sobre los modelos no alineados, mientras que los métodos anteriores a menudo degradan la ESR entre un 14% y un 54%. Publicamos nuestro código, conjunto de datos y puntos de control del modelo en https://github.com/AndrewWTY/SecCoderX.
English
Large language models (LLMs) are increasingly used in software development, yet their tendency to generate insecure code remains a major barrier to real-world deployment. Existing secure code alignment methods often suffer from a functionality--security paradox, improving security at the cost of substantial utility degradation. We propose SecCoderX, an online reinforcement learning framework for functionality-preserving secure code generation. SecCoderX first bridges vulnerability detection and secure code generation by repurposing mature detection resources in two ways: (i) synthesizing diverse, reality-grounded vulnerability-inducing coding tasks for online RL rollouts, and (ii) training a reasoning-based vulnerability reward model that provides scalable and reliable security supervision. Together, these components are unified in an online RL loop to align code LLMs to generate secure and functional code. Extensive experiments demonstrate that SecCoderX achieves state-of-the-art performance, improving Effective Safety Rate (ESR) by approximately 10% over unaligned models, whereas prior methods often degrade ESR by 14-54%. We release our code, dataset and model checkpoints at https://github.com/AndrewWTY/SecCoderX.