可靠的ssl-谷歌利用 AI 发现 20 年前的软件漏洞:「模糊测试」改写安全游戏规则

站长之家(ChinaZ.com) 11 月 23 日音讯:谷歌近日通过 AI 程序发现了一个躲藏了二十年的开源软件缝隙。谷歌在周三的一篇博客文章中表示,借助类似 ChatGPT 的 AI 东西,公司共识别出了 26 个缝隙,其间包含一个在 OpenSSL 中潜伏了二十年的缝隙。
谷歌,google
这些缝隙是通过一种称为「含糊测验」(fuzz testing)的办法发现的。可靠的ssl,含糊测验通过向软件程序输入随机数据以检查其是否会崩溃,然后确诊潜在问题。上一年,谷歌开始使用大型言语模型(LLM)来编写含糊测验代码,将以往需求人类手动进行的测验作业搬运给 AI。
「我们的办法是使用 LLM 的编程才能生成更多含糊测验方针,然后进步测验功率,」谷歌开源安全团队在博客中写道。「LLM 在模仿典型开发者的完整作业流程方面表现出卓越的才能,包含编写、测验和迭代含糊测验方针,以及分类分析发现的崩溃问题。」
自推出以来,谷歌已在 272 个软件项目中应用了这一 AI 东西,发现了 26 个缝隙。其间一个名为 CVE-2024-9143 的缝隙涉及 OpenSSL,这是一种广泛用于互联网连接加密和服务器认证的东西。据研究人员称,这一缝隙或许已存在二十年,用传统的由人类编写的含糊测验代码是无法发现的。
该缝隙的核心问题在于「越界内存拜访」,即程序企图拜访超出答应规模的内存,这或许导致程序崩溃,甚至在极少数情况下执行恶意代码。尽管如此,因为发生危险操作的风险极小,该缝隙的严重性被评估为低。
谷歌推测,这一缝隙未被发现的原因在于相关代码被视为已通过充分测验。「代码覆盖率作为衡量标准,无法涵盖所有或许的代码路径和状况——不同的标志和配置或许触发不同行为,进而提醒不同缝隙,」研究人员指出。「这表明即使是已通过含糊测验的代码,也需求不断生成新的测验方针。」
展望未来,谷歌开源安全团队正致力于让 LLM 能够为发现的缝隙自动生成修正补丁。另一个方针是实现「无需人工审阅」的缝隙报告流程。「这将有助于自意向项目保护人员报告新缝隙,」团队表示。
这一尽力还与谷歌的另一个 AI 项目「Big Sleep」相结合,该项目同样使用 LLM 模仿人类安全研究人员的作业流程以发现缝隙。本月早些时候,谷歌宣告,Big Sleep 已成功发现 SQLite(一种开源数据库引擎)中一个此前不知道且可使用的缝隙。