Generazione di Codice Sicuro tramite Apprendimento per Rinforzo Online con Modello di Ricompensa per Vulnerabilità
Secure Code Generation via Online Reinforcement Learning with Vulnerability Reward Model
February 7, 2026
Autori: Tianyi Wu, Mingzhe Du, Yue Liu, Chengran Yang, Terry Yue Zhuo, Jiaheng Zhang, See-Kiong Ng
cs.AI
Abstract
I grandi modelli linguistici (LLM) sono sempre più utilizzati nello sviluppo software, nonostante la loro tendenza a generare codice insicuro rimanga un ostacolo significativo alla diffusione nel mondo reale. I metodi esistenti per l'allineamento del codice sicuro spesso soffrono di un paradosso funzionalità-sicurezza, migliorando la sicurezza a scapito di un sostanziale degrado dell'utilità. Proponiamo SecCoderX, un framework di apprendimento per rinforzo online per la generazione di codice sicuro che preserva la funzionalità. SecCoderX colma innanzitutto il divario tra rilevamento delle vulnerabilità e generazione di codice sicuro riutilizzando risorse di rilevamento mature in due modi: (i) sintetizzando compiti di codifica diversificati e radicati nella realtà che inducono vulnerabilità, per esplorazione online tramite RL, e (ii) addestrando un modello di ricompensa basato sul ragionamento per le vulnerabilità, che fornisce una supervisione della sicurezza scalabile e affidabile. Insieme, questi componenti sono unificati in un ciclo di RL online per allineare gli LLM per il codice affinché generino codice sia sicuro che funzionale. Esperimenti estensivi dimostrano che SecCoderX raggiunge prestazioni all'avanguardia, migliorando il Tasso di Sicurezza Efficace (ESR) di circa il 10% rispetto a modelli non allineati, mentre i metodi precedenti spesso degradano l'ESR del 14-54%. Rilasciamo il nostro codice, dataset e checkpoint del modello all'indirizzo https://github.com/AndrewWTY/SecCoderX.
English
Large language models (LLMs) are increasingly used in software development, yet their tendency to generate insecure code remains a major barrier to real-world deployment. Existing secure code alignment methods often suffer from a functionality--security paradox, improving security at the cost of substantial utility degradation. We propose SecCoderX, an online reinforcement learning framework for functionality-preserving secure code generation. SecCoderX first bridges vulnerability detection and secure code generation by repurposing mature detection resources in two ways: (i) synthesizing diverse, reality-grounded vulnerability-inducing coding tasks for online RL rollouts, and (ii) training a reasoning-based vulnerability reward model that provides scalable and reliable security supervision. Together, these components are unified in an online RL loop to align code LLMs to generate secure and functional code. Extensive experiments demonstrate that SecCoderX achieves state-of-the-art performance, improving Effective Safety Rate (ESR) by approximately 10% over unaligned models, whereas prior methods often degrade ESR by 14-54%. We release our code, dataset and model checkpoints at https://github.com/AndrewWTY/SecCoderX.