중요한 것에 집중: Fisher 가이드 기반의 적응형 다중 모드 융합을 통한 취약점 탐지

Focus on What Matters: Fisher-Guided Adaptive Multimodal Fusion for Vulnerability Detection

소프트웨어 취약점 탐지는 주어진 코드 조각에 보안 결함이 포함되어 있는지 여부를 결정하는 이진 분류 문제로 정의될 수 있습니다. 기존의 다중 모드 방법은 일반적으로 사전 학습된 모델에서 추출된 자연 코드 시퀀스(NCS) 표현과 그래프 신경망에서 추출된 코드 속성 그래프(CPG) 표현을 융합하는데, 이는 추가적인 모드를 도입하면 항상 정보 획득이 이루어진다는 전제하에 작동합니다. 경험적 분석을 통해 우리는 이러한 가정의 한계를 보여줍니다. 사전 학습된 모델은 이미 상당한 구조적 정보를 암묵적으로 인코딩하고 있어 두 모드 간에 상당한 중복이 발생하며, 또한 그래프 인코더는 일반적으로 특징 추출 능력에서 사전 학습된 언어 모델보다 효과적이지 않습니다. 결과적으로, 단순한 융합은 보완적인 신호를 얻는 데 어려움을 겪을 뿐만 아니라, 노이즈 확산으로 인해 효과적인 판별력을 저해하는 요소를 희석할 수도 있습니다. 이러한 문제를 해결하기 위해, 우리는 Fisher 정보를 사용하여 작업 관련성을 정량화하는 작업 조건부 보완 융합 전략을 제안합니다. 이 전략은 교차 모드 상호 작용을 전체 스펙트럼 매칭에서 작업에 민감한 부분 공간 내의 선택적 융합으로 변환합니다. 이론적 분석 결과, 등방성 교란 가정 하에서 이 전략은 출력 오류의 상한을 크게 줄입니다. 이러한 통찰력을 바탕으로, 우리는 온라인 저랭크 Fisher 부분 공간 추정 및 적응형 게이팅 메커니즘을 결합하여 효율적인 작업 지향 융합을 가능하게 하는 TaCCS-DFA 프레임워크를 설계했습니다. BigVul, Devign, 및 ReVeal 벤치마크에서의 실험 결과, TaCCS-DFA는 F1 점수에서 최대 6.3점의 성능 향상을 보였으며, 추론 지연 시간은 3.4%만 증가하고, 낮은 교정 오류를 유지했습니다.

Software vulnerability detection can be formulated as a binary classification problem that determines whether a given code snippet contains security defects. Existing multimodal methods typically fuse Natural Code Sequence (NCS) representations extracted by pretrained models with Code Property Graph (CPG) representations extracted by graph neural networks, under the implicit assumption that introducing an additional modality necessarily yields information gain. Through empirical analysis, we demonstrate the limitations of this assumption: pretrained models already encode substantial structural information implicitly, leading to strong overlap between the two modalities; moreover, graph encoders are generally less effective than pretrained language models in feature extraction. As a result, naive fusion not only struggles to obtain complementary signals but can also dilute effective discriminative cues due to noise propagation. To address these challenges, we propose a task-conditioned complementary fusion strategy that uses Fisher information to quantify task relevance, transforming cross-modal interaction from full-spectrum matching into selective fusion within a task-sensitive subspace. Our theoretical analysis shows that, under an isotropic perturbation assumption, this strategy significantly tightens the upper bound on the output error. Based on this insight, we design the TaCCS-DFA framework, which combines online low-rank Fisher subspace estimation with an adaptive gating mechanism to enable efficient task-oriented fusion. Experiments on the BigVul, Devign, and ReVeal benchmarks demonstrate that TaCCS-DFA delivers up to a 6.3-point gain in F1 score with only a 3.4% increase in inference latency, while maintaining low calibration error.