Google 的 OSS-Fuzz 在不同的開源項目中發現了超過二十個漏洞。其中一個是 OpenSSL 的漏洞,可能導致遠程代碼執行(RCE)。 Google 將這視為自動化漏洞發現的一個重大里程碑。 Google 在不同的開源代碼庫中發現了 26 個漏洞,包括一個在「關鍵的 OpenSSL 庫」中的中等嚴重性缺陷,該庫支撐着互聯網基礎設施的許多部分。
如果發現漏洞的方法不是「人工」的,這則消息不會引起太多關注( Google 多年來幫助發現了成千上萬的漏洞),因為這些漏洞是通過其 A.I. 驅動的模糊測試工具 OSS-Fuzz 揭示的。 Google 在一篇網誌文章中解釋道:「這些特定的漏洞代表了自動化漏洞發現的一個里程碑:每一個都是通過 A.I. 發現的,使用了 A.I. 生成和增強的模糊目標。」
大型語言模型的重大改進在這 26 個缺陷中,有一個 OpenSSL 的漏洞被追蹤為 CVE-2024-9143。它的嚴重性評分為 4.3,被描述為一個越界內存寫入漏洞,可能會使應用程式崩潰,或者允許罪犯發動遠程代碼執行(RCE)惡意攻擊。為了解決這一缺陷,OpenSSL 已經升級到版本 3.3.3、3.2.4、3.1.8、3.0.16、1.1.1zb 和 1.0.2zl。
更有趣的是, Google 表示該漏洞很可能存在了二十年,「並且在人類編寫的現有模糊目標下是無法被發現的。」
該漏洞的發現是基於兩項重大改進,該公司進一步解釋道。第一項是自動生成更相關上下文的能力,這使得大型語言模型「不太可能在其回應中幻想缺失的細節」。第二項則圍繞着大型語言模型模擬典型開發者整個工作流程的能力,包括編寫、測試和疊代模糊目標,以及對發現的崩潰進行分類。
「多虧了這一點,進一步自動化模糊測試工作流程的更多部分成為可能。這一額外的疊代反饋也導致了更高質量和更多正確的模糊目標。」
