AI自动挖洞不是梦,谷歌AI工具OSS-FASZ又发现26个开源漏洞
💡
原文中文,约1300字,阅读约需4分钟。
📝
内容提要
谷歌的OSS-Fuzz工具利用人工智能在26个开源代码库中发现了漏洞,包括OpenSSL中的中度漏洞(CVE-2024-9143),可能导致应用崩溃或远程代码执行。该漏洞已在多个版本中修复。谷歌通过大型语言模型提高模糊测试覆盖率,发现了长期未被人类发现的漏洞,并在C++项目中引入安全检查,提升了代码安全性和可靠性。
🎯
关键要点
- 谷歌的OSS-Fuzz工具利用人工智能发现了26个开源代码库中的漏洞。
- OpenSSL中的中度漏洞CVE-2024-9143可能导致应用崩溃或远程代码执行,已在多个版本中修复。
- 谷歌通过大型语言模型提高模糊测试覆盖率,发现了长期未被人类发现的漏洞。
- AI生成的模糊测试目标提高了272个C/C++项目的代码覆盖率,新增了超过370,000行新代码。
- 代码覆盖率无法保证函数没有漏洞,AI辅助的漏洞发现允许更多的自动化。
- 谷歌正在将代码库转换为内存安全语言Rust,并对现有C++项目进行改造。
- hardened libc++引入了一系列安全检查,降低了C++代码的空间安全漏洞风险。
- hardened libc++通过边界检查确保对std::vector和std::optional的安全访问,提升了代码的安全性和可靠性。
❓
延伸问答
谷歌的OSS-Fuzz工具是如何发现漏洞的?
谷歌的OSS-Fuzz工具利用人工智能生成和增强的模糊测试目标,识别了26个开源代码库中的漏洞。
CVE-2024-9143漏洞的影响是什么?
CVE-2024-9143是一个中度漏洞,可能导致应用程序崩溃或远程代码执行。
谷歌如何提高模糊测试的覆盖率?
谷歌通过引入大型语言模型(LLM)来提高OSS-Fuzz中的模糊测试覆盖率,发现了长期未被人类发现的漏洞。
谷歌在C++项目中采取了哪些安全措施?
谷歌对现有C++项目进行了改造,引入了hardened libc++,增加了边界检查以降低空间安全漏洞的风险。
hardened libc++的主要功能是什么?
hardened libc++通过为标准C++数据结构添加边界检查,防止越界访问和未初始化内存的访问。
谷歌将代码库转换为Rust的原因是什么?
谷歌希望通过将代码库转换为内存安全语言Rust,来提高代码的安全性和可靠性。
➡️
