Mejora de la Explicabilidad y Robustez de las GNNs Aplicadas a la Detección deVulnerabilidades en Código Fuente

Abstract

La detección automatizada de vulnerabilidades en el código fuente es una tarea crítica de ciberseguridad que afecta a la seguridad y fiabilidad del software moderno. Las herramientas tradicionales de análisis estático y dinámico a menudo no logran capturar estructuras sintácticas complejas y lógicas semánticas sutiles. Los avances recientes en aprendizaje automático, especialmente las Redes Neuronales Gráficas (GNNs), muestran potencial para aprender relaciones estructurales y semánticas en el código. Sin embargo, su rendimiento se ve limitado por el desequilibrio de datos, el ruido en las etiquetas y las correlaciones espurias---patrones que asocian erróneamente características superficiales con etiquetas de vulnerabilidad---lo que socava su capacidad de generalización ante fallos del mundo real. Para abordar esto, este trabajo presenta VISION (\textit{Vulnerability Identification and Spuriousness mitigation via counterfactual augmentatION}), un marco unificado para mejorar la robustez y la interpretabilidad en la detección de vulnerabilidades. VISION aprovecha Modelos de Lenguaje de Gran Escala (LLMs) para generar contraejemplos---funciones mínimamente editadas con etiquetas de vulnerabilidad invertidas---proporcionando al modelo contrastes significativos entre muestras reales y sintéticas. La GNN Devign se emplea como arquitectura del modelo base, combinada con un \textit{explainer} para atribuciones detalladas en el grafo y un módulo de visualización para análisis humano-en-el-bucle. Evaluado sobre CWE-20 (\textit{Improper Input Validation}), VISION logra mejoras sustanciales en precisión, generalización y calidad de las explicaciones, con avances notables en precisión por pares y en el peor subgrupo. Además, se proponen nuevas métricas de interpretabilidad y se publica el benchmark CWE-20-CFA, con más de 27.000 ejemplos balanceados. En conjunto, VISION ofrece un enfoque novedoso y eficaz para mitigar el aprendizaje espurio y avanzar hacia una IA transparente y confiable para el desarrollo de software seguro.

Automated source code vulnerability detection is a critical cybersecurity task that impacts the safety and reliability of modern software. Traditional static and dynamic analysis tools often fail to capture complex syntactic structures and subtle semantic logic. Recent advances in machine learning, especially Graph Neural Networks (GNNs), show promise in learning structural and semantic code relationships. However, their performance is limited by data imbalance, label noise, and spurious correlations---patterns that wrongly associate superficial features with vulnerability labels---undermining generalization to real-world flaws. To address this, this work introduces VISION (Vulnerability Identification and Spuriousness mitigation via counterfactual augmentatION), a unified framework for improving robustness and interpretability in vulnerability detection. VISION leverages Large Language Models (LLMs) to generate counterfactual examples---minimally edited functions with flipped vulnerability labels---providing the model with meaningful contrasts between real and synthetic samples. The Devign GNN serves as the architecture for the base model, paired with an explainer for fine-grained graph attributions and a visualization module for human-in-the-loop analysis. Evaluated on CWE-20 (Improper Input Validation), VISION achieves substantial gains in accuracy, generalization, and explanation quality, with notable improvements in pair-wise and worst-group accuracy. Additionally, new interpretability metrics are proposed and the CWE-20-CFA dataset benchmark is released, featuring over 27,000 balanced examples. Overall, VISION offers a novel and effective approach to mitigating spurious learning and advancing transparent, trustworthy AI for secure software development.