Googles OSS-Fuzz, ein Fuzzy-Test-Tool, das auf künstlicher Intelligenz basiert vergangene 20 Jahre. Dieser Durchbruch zeigt, dass automatisierte Schwachstellenprüfungen in einen neuen Meilenstein eingegeben wurden. In diesem Artikel wird die neueste Entdeckung von Oss-Fuzz, die Rolle der KI-Technologie und die von Google ergriffenen Maßnahmen zur Verbesserung der Codesicherheit vorgestellt.
Kürzlich gab Google bekannt, dass es die Schwachstellen in 26 Open-Source-Code-Bibliotheken, die auf künstlichen Intelligenz basierenden Fuzzy-Test-Tools basieren, erfolgreich entdeckt habe, einschließlich einer Schwachstelle mit mittlerer Schwere in der OpenSSL-Verschlüsselungsbibliothek.
Das Open -Source -Sicherheitsteam von Google erklärte in einem gemeinsamen Blog -Beitrag: "Die Entdeckung dieser Schwachstellen markiert den neuen Meilenstein des Automatisierungsanfälligkeitstests: Jede Schwachstelle wird durch das durch KI generierte und erweiterte Fuzzy -Testziel festgestellt."
BILDUNGSCHRAFT BEMERKUNGEN: Bilder werden von KI, Bildautorisierungsdienstleister Midjourney, generiert
Die diesmal entdeckte OpenSSL-Sicherheitsanfälligkeit ist CVE-2024-9143 (CVSS-Score ist 4,3), was sich als grenzüberschreitender Speicherschreibfehler manifestiert, wodurch die Anwendung zum Zusammenbruch oder zur Ausführung der Remote-Code führen kann. Dieses Problem wurde in mehreren Versionen von OpenSSL behoben, einschließlich 3.3.3, 3.2.4, 3.1.8, 3.0.16, 1.1zb und 1.0.2zl. Google wies darauf hin, dass diese Sicherheitsanfälligkeit möglicherweise seit fast 20 Jahren in der Codebibliothek liegt, und das Problem der von traditionellen Menschen verfassten Fuzzy -Testziele kann nicht gefunden werden.
Google erwähnte auch, dass mit dem von AI generierten Fuzzy -Testziel die Codeabdeckung von 272 C/C ++ - Projekten verbessert wurde, um den neuen Code von mehr als 370.000 Zeilen zu erhöhen. Google erklärte, dass viele Fehler ignoriert wurden, da die Codeabdeckungsrate der Funktion und keine Lücken entspricht. Der Indikator für die Codeabdeckung allein misst nicht die möglichen Codepfade und den Status des Codes, da unterschiedliche Zeichen und Konfigurationen unterschiedliche Verhaltensweisen auslösen können, wodurch unterschiedliche Lücken enthüllt.
Diese AI -unterstützte Verwundbarkeit ergab, dass sie auch von der herausragenden Leistung des großen Sprachmodells (LLMs) bei der Simulation der Fuzzy -Tests des Entwicklers profitierte, was den Automatisierungsgrad weiter verbesserte. Darüber hinaus gab Google Anfang dieses Monats bekannt, dass sein LLM -basiertes Framework Big Sleep bei der Erkennung einer Null -Sicherheitsanfälligkeit in der SQLite Open -Source -Datenbank -Engine dazu beigetragen hat.
Um die Sicherheit seiner eigenen Code -Bibliothek zu verbessern, drängt Google darauf, Code auf Speichersicherheitssprachen wie Rost zu migrieren und die vorhandenen C ++ - Projekte zu reparieren, um die Sicherheitsanfälligkeit der Space Memory Security zu reparieren. Dies beinhaltet die Migration zu sichern Puffer und ermöglichte die Härtung von LIBC ++. Google sagte, dass der durch diese Verbesserungen verursachte Leistungsverlust sehr gering war, mit einem Durchschnitt von nur 0,30%.
Google hat ferner betont, dass die jüngsten Härtung von LIBC ++ von den Open -Source -Mitwirkenden eine Reihe von Sicherheitsinspektionen einführte, die darauf abzielt, Schwachstellen wie grenzüberschreitende Besuche in der Produktionsumgebung zu erfassen. Obwohl die C ++ - Sprache keine Speichersicherheit vollständig erreichen kann, verringern diese Verbesserungen das Risiko zweifellos und machen die Software zuverlässiger und sicherer.
Punkte:
Das Oss-Fuzz-Tool von Google entdeckte Schwachstellen in 26 Open-Source-Projekten, darunter eine OpenSSL-Sicherheitsanfälligkeit, die fast 20 Jahre alt ist.
Das von AI generierte Fuzzy -Testziel hat die Codeabdeckung von 272 C/C ++ - Projekten erhöht, was einer Erhöhung von mehr als 370.000 Zeilen neuer Code ist.
Google migriert den Code in die Speichersprache des Speichers und verbessert die Sicherheit von C ++ - Projekten durch die Verhärtung von LIBC ++ und anderen Maßnahmen.
Insgesamt nutzt Google die KI -Technologie, um Funktionen für die Erkennung von Software -Sicherheit zu verbessern, und seine Erfahrung bietet wertvolle Referenzen für andere Institutionen. In Zukunft wird KI im Bereich der Software -Sicherheit eine immer wichtigere Rolle spielen, um Entwicklern dabei zu helfen, ein sichereres und zuverlässigeres Softwaresystem aufzubauen.