本論文では、プログラム解析ツールが生成する多くの脆弱性レポートの中から、真の脆弱性を特定するための優先順位付けに機械学習を適用できるかを検討しています。対象としたのは1,883個のNode.jsパッケージで、それぞれに一つのACEまたはACI脆弱性が報告されています。著者たちは、古典モデル、グラフニューラルネットワーク(GNN)、大規模言語モデル(LLM)、およびこれらを組み合わせたハイブリッドモデルを含むさまざまな機械学習アプローチを評価しました。最も優れたLLMはF1スコア0.915を達成し、GNNおよび古典的MLモデルも高い性能を示しました。このモデルは、7%未満の誤陰性率で66.9%の無害なパッケージをレビューから除外し、実世界の脆弱性トリアージに対する高い可能性を示しています。