Oss-Fuzz ของ Google ซึ่งเป็นเครื่องมือทดสอบที่คลุมเครือบนพื้นฐานของปัญญาประดิษฐ์ได้รับผลลัพธ์ที่สำคัญในอนาคตอันใกล้และค้นพบช่องโหว่ของห้องสมุดโอเพนซอร์ส 26 รายการรวมถึงช่องโหว่ความรุนแรงปานกลางในห้องสมุดการเข้ารหัส OpenSSL ที่อยู่ใน 20 ปีที่ผ่านมา การพัฒนานี้บ่งชี้ว่าการทดสอบช่องโหว่อัตโนมัติได้เข้าสู่เหตุการณ์สำคัญใหม่ บทความนี้จะแนะนำการค้นพบล่าสุดของ OSS-FUZZ บทบาทของเทคโนโลยี AI ในไอทีและมาตรการที่ดำเนินการโดย Google เพื่อปรับปรุงความปลอดภัยของรหัส
เมื่อเร็ว ๆ นี้ Google ประกาศว่าได้ค้นพบช่องโหว่ในห้องสมุดโอเพนซอร์ส 26 ห้องโดยใช้เครื่องมือทดสอบฟัซซี่ที่ใช้ปัญญาประดิษฐ์รวมถึงช่องโหว่ความรุนแรงปานกลางในห้องสมุดการเข้ารหัส OpenSSL
ทีมรักษาความปลอดภัยโอเพ่นซอร์สของ Google ระบุไว้ในโพสต์บล็อกที่ใช้ร่วมกัน: "การค้นพบช่องโหว่เหล่านี้นับเป็นเหตุการณ์สำคัญใหม่ของการทดสอบช่องโหว่อัตโนมัติ: ช่องโหว่แต่ละจุดถูกพบโดยเป้าหมายการทดสอบฟัซซี่ที่สร้างและปรับปรุงโดย AI"
คำพูดที่มาของรูปภาพ: รูปภาพถูกสร้างขึ้นโดย AI ผู้ให้บริการการอนุญาตรูปภาพ Midjourney
ช่องโหว่ OpenSSL ที่ค้นพบในเวลานี้คือ CVE-20124-9143 (คะแนน CVSS คือ 4.3) ซึ่งปรากฏเป็นข้อผิดพลาดในการเขียนหน่วยความจำข้ามพรมแดนซึ่งอาจทำให้แอปพลิเคชันยุบหรือดำเนินการรหัสระยะไกล ปัญหานี้ได้รับการแก้ไขใน OpenSSL หลายรุ่นรวมถึง 3.3.3, 3.2.4, 3.1.8, 3.0.16, 1.1ZB และ 1.0.2ZL Google ชี้ให้เห็นว่าช่องโหว่นี้อาจอยู่ในห้องสมุดรหัสเป็นเวลาเกือบ 20 ปีและปัญหาของเป้าหมายการทดสอบฟัซซี่ที่เขียนโดยมนุษย์แบบดั้งเดิมไม่สามารถพบได้
Google ยังกล่าวอีกว่าด้วยเป้าหมายการทดสอบฟัซซี่ที่สร้างโดย AI การครอบคลุมรหัสของ 272 C/C ++ โครงการได้รับการปรับปรุงเพื่อเพิ่มรหัสใหม่มากกว่า 370,000 บรรทัด Google อธิบายว่าข้อผิดพลาดจำนวนมากถูกละเว้นเนื่องจากอัตราการครอบคลุมรหัสไม่เทียบเท่ากับฟังก์ชั่นและไม่มีช่องโหว่ ตัวบ่งชี้การครอบคลุมรหัสเพียงอย่างเดียวไม่ได้วัดเส้นทางรหัสที่เป็นไปได้และสถานะของรหัสเนื่องจากสัญญาณและการกำหนดค่าที่แตกต่างกันอาจทำให้เกิดพฤติกรรมที่แตกต่างกันซึ่งจะเปิดเผยช่องโหว่ที่แตกต่างกัน
ช่องโหว่ AI ที่ได้รับการช่วยเหลือนี้พบว่ามันยังได้รับประโยชน์จากประสิทธิภาพที่โดดเด่นของรูปแบบภาษาขนาดใหญ่ (LLMS) ในการจำลองการทดสอบฟัซซี่ของนักพัฒนาซึ่งปรับปรุงระดับของระบบอัตโนมัติต่อไป นอกจากนี้ Google ยังเปิดเผยเมื่อต้นเดือนที่ผ่านมาว่า Framework Big Sleep ที่ใช้ LLM ช่วยตรวจจับช่องโหว่ที่เป็นศูนย์ในเอ็นจินฐานข้อมูล SQLite Open Source
เพื่อปรับปรุงความปลอดภัยของไลบรารีรหัสของตัวเอง Google กำลังผลักดันให้โยกย้ายรหัสไปยังภาษาความปลอดภัยของหน่วยความจำเช่น Rust และซ่อมแซมโครงการ C ++ ที่มีอยู่เพื่อซ่อมแซมช่องโหว่ความปลอดภัยของหน่วยความจำในพื้นที่ ซึ่งรวมถึงการโยกย้ายไปยังบัฟเฟอร์ที่ปลอดภัยและเปิดใช้งานการชุบแข็ง LIBC ++ Google กล่าวว่าการสูญเสียประสิทธิภาพที่เกิดจากการปรับปรุงเหล่านี้มีขนาดเล็กมากโดยมีค่าเฉลี่ยเพียง 0.30%
Google ได้เน้นย้ำเพิ่มเติมว่า LIBC ++ ที่ชุบแข็งเมื่อเร็ว ๆ นี้ได้เพิ่มโดยผู้สนับสนุนโอเพนซอร์สได้แนะนำชุดของการตรวจสอบความปลอดภัยซึ่งมีจุดมุ่งหมายเพื่อจับภาพช่องโหว่เช่นการเยี่ยมชมข้าม -การเยี่ยมชมในสภาพแวดล้อมการผลิต แม้ว่าภาษา C ++ ไม่สามารถบรรลุความปลอดภัยของหน่วยความจำได้อย่างเต็มที่ แต่การปรับปรุงเหล่านี้จะช่วยลดความเสี่ยงและทำให้ซอฟต์แวร์เชื่อถือได้และปลอดภัยยิ่งขึ้น
คะแนน:
เครื่องมือ OSS-FUZZ ของ Google ค้นพบช่องโหว่ในโครงการโอเพ่นซอร์ส 26 โครงการรวมถึงช่องโหว่ OpenSSL ที่มีอายุเกือบ 20 ปี
เป้าหมายการทดสอบฟัซซี่ที่สร้างขึ้นโดย AI ได้เพิ่มความครอบคลุมของรหัส 272 C/C ++ โครงการเพิ่มขึ้นมากกว่า 370,000 บรรทัดของรหัสใหม่
Google กำลังย้ายรหัสไปยังภาษาความปลอดภัยของหน่วยความจำและปรับปรุงความปลอดภัยของโครงการ C ++ ผ่านการชุบแข็ง LIBC ++ และมาตรการอื่น ๆ
โดยรวมแล้ว Google ใช้เทคโนโลยี AI เพื่อปรับปรุงความสามารถในการตรวจจับความปลอดภัยของซอฟต์แวร์และประสบการณ์ให้การอ้างอิงที่มีค่าสำหรับสถาบันอื่น ๆ ในอนาคต AI จะมีบทบาทสำคัญมากขึ้นในด้านความปลอดภัยของซอฟต์แวร์เพื่อช่วยให้นักพัฒนาสร้างระบบซอฟต์แวร์ที่ปลอดภัยและเชื่อถือได้มากขึ้น