Fuzzing漫谈:Heartbleed,AI与xz投毒事件
原文中文,约3100字,阅读约需8分钟。发表于: 。原本在写技术随笔,笔锋一转,写了点题外话,结果越写越多,遂成此文。 时至今日,fuzzing早已不再是单纯的fuzzing,程序分析和AI让fuzzing变得更加强大——当然,反过来也是这样。技术、学科和领域的交叉与融合总会带来令人耳目一新的效果。当下,LLM已经在fuzzing等信息安全领域展现出非凡的潜力(关于此,可以阅读我之前写的文献总结)。 2023年8月,Google在博客上发表了...
文章介绍了LLM辅助Fuzzing在信息安全领域的应用,Google将LLM与OSS-Fuzz项目相结合,实现全自动化的工作流。LLM生成的fuzzing target成功发现了漏洞,表明LLM的合理使用能提升fuzzing能力。Google团队的长远目标是将LLM fuzz target generation作为OSS-Fuzz的完全集成功能,并扩展支持到Python和Java等语言生态系统。OSS-Fuzz已经帮助1000多个项目发现并修复了漏洞和bug。文章还提到了xz项目投毒事件和开源运动的局限性。