谷歌诈欺AI发现20年前的软件间隙:「恶浊测试」改写安全游戏端正
发布日期:2024-12-22 05:49 点击次数:133
站长之家(ChinaZ.com) 11 月 23 日音信:谷歌近日通过 AI 容颜发现了一个荫藏了二十年的开源软件间隙。谷歌在周三的一篇博客著述中示意,借助访佛 ChatGPT 的 AI 器用,公司共鸣别出了 26 个间隙,其中包括一个在 OpenSSL 中潜藏了二十年的间隙。
这些间隙是通过一种称为「恶浊测试」(fuzz testing)的表率发现的。恶浊测试通过向软件容颜输入立时数据以检察其是否会崩溃,从而会诊潜在问题。昨年,谷歌驱动诈欺大型话语模子(LLM)来编写恶浊测试代码,将以往需要东说念主类手动进行的测试职责改造给 AI。
「咱们的表率是诈欺 LLM 的编程才能生成更多恶浊测试见地,从而进步测试后果,」谷歌开源安全团队在博客中写说念。「LLM 在模拟典型开采者的完好职责过程方面进展出寥落的才能,包括编写、测试和迭代恶浊测试见地,以及分类分析发现的崩溃问题。」
自推出以来,谷歌已在 272 个软件神志中应用了这一 AI 器用,发现了 26 个间隙。其中一个名为 CVE-2024-9143 的间隙波及 OpenSSL,这是一种畴前用于互联网连气儿加密和办事器认证的器用。据相干东说念主员称,这一间隙可能已存在二十年,用传统的由东说念主类编写的恶浊测试代码是无法发现的。
该间隙的中枢问题在于「越界内存侦查」,即容颜试图侦查超出允许范围的内存,这可能导致容颜崩溃,致使在小数数情况下履造孽意代码。尽管如斯,由于发生危境操作的风险极小,该间隙的严重性被评估为低。
谷歌估量,这一间隙未被发现的原因在于关连代码被视为已通过充分测试。「代码隐蔽率四肢掂量范例,无法涵盖统共可能的代码旅途和现象——不同的标识和建立可能触发不同业为,进而揭示不同间隙,」相干东说念主员指出。「这标明即使是还是过恶浊测试的代码,也需要不断生成新的测试见地。」
瞻望未来,谷歌开源安全团队正致力于于让 LLM 莽撞为发现的间隙自动生成建造补丁。另一个见地是达成「无需东说念主工审核」的间隙论说过程。「这将有助于自动向神志爱戴东说念主员论说新间隙,」团队示意。
这一勤劳还与谷歌的另一个 AI 神志「Big Sleep」相集会,该神志雷同诈欺 LLM 模拟东说念主类安全相干东说念主员的职责过程以发现间隙。本月早些本事,谷歌通告,Big Sleep 已到手发现 SQLite(一种开源数据库引擎)中一个此前未知且可诈欺的间隙。
举报/反应