GoodVibe: Sicurezza tramite Vibrazione per la Generazione di Codice Basata su LLM
GoodVibe: Security-by-Vibe for LLM-Based Code Generation
February 11, 2026
Autori: Maximilian Thang, Lichao Wu, Sasha Behrouzi, Mohamadreza Rostami, Jona te Lintelo, Stjepan Picek, Ahmad-Reza Sadeghi
cs.AI
Abstract
I grandi modelli linguistici (LLM) sono sempre più utilizzati per la generazione di codice in flussi di lavoro di sviluppo rapidi e informali, spesso definiti "vibe coding", dove velocità e convenienza sono prioritarie e i requisiti di sicurezza raramente vengono esplicitati. In questo contesto, i modelli producono frequentemente codice funzionalmente corretto ma insicuro, creando un rischio per la sicurezza in crescita. Gli approcci esistenti per migliorare la sicurezza del codice si basano su fine-tuning completo dei parametri o adattamenti efficienti in termini di parametri, che sono o costosi e inclini all'oblio catastrofico, o operano con una granularità grossolana con limitata interpretabilità e controllo.
Presentiamo GoodVibe, un framework a livello di neurone per migliorare la sicurezza dei modelli linguistici per il codice di default. GoodVibe si basa sull'intuizione chiave che il ragionamento relativo alla sicurezza è localizzato in un piccolo sottoinsieme di neuroni. Identifichiamo questi neuroni utilizzando l'attribuzione basata su gradienti da un'attività di sicurezza supervisionata ed eseguiamo un fine-tuning selettivo dei neuroni che aggiorna solo questo sottospazio critico per la sicurezza. Per ridurre ulteriormente il costo dell'addestramento, introduciamo il clustering dei neuroni guidato dall'attivazione, consentendo aggiornamenti strutturati con overhead minimo.
Valutiamo GoodVibe su sei LLM in linguaggi di programmazione critici per la sicurezza, tra cui C++, Java, Swift e Go. GoodVibe migliora sostanzialmente la sicurezza del codice generato preservando l'utilità generale del modello, raggiungendo un miglioramento fino a 2,5x rispetto ai modelli base, eguagliando o superando il fine-tuning completo con oltre 4.700x parametri addestrabili in meno e riducendo il calcolo di addestramento di oltre 3,6x rispetto al baseline efficiente in parametri (LoRA). I nostri risultati dimostrano che l'ottimizzazione a livello di neurone offre un approccio efficace e scalabile per proteggere la generazione di codice senza sacrificare efficienza o generalità.
English
Large language models (LLMs) are increasingly used for code generation in fast, informal development workflows, often referred to as vibe coding, where speed and convenience are prioritized, and security requirements are rarely made explicit. In this setting, models frequently produce functionally correct but insecure code, creating a growing security risk. Existing approaches to improving code security rely on full-parameter fine-tuning or parameter-efficient adaptations, which are either costly and prone to catastrophic forgetting or operate at coarse granularity with limited interpretability and control.
We present GoodVibe, a neuron-level framework for improving the security of code language models by default. GoodVibe is based on the key insight that security-relevant reasoning is localized to a small subset of neurons. We identify these neurons using gradient-based attribution from a supervised security task and perform neuron-selective fine-tuning that updates only this security-critical subspace. To further reduce training cost, we introduce activation-driven neuron clustering, enabling structured updates with minimal overhead. We evaluate GoodVibe on six LLMs across security-critical programming languages, including C++, Java, Swift, and Go. GoodVibe substantially improves the security of generated code while preserving general model utility, achieving up to a 2.5x improvement over base models, matching or exceeding full fine-tuning with over 4,700x fewer trainable parameters, and reducing training computation by more than 3.6x compared to the parameter-efficient baseline (LoRA). Our results demonstrate that neuron-level optimization offers an effective and scalable approach to securing code generation without sacrificing efficiency or generality.