【安全资讯】谷歌AI漏洞猎手发现超过二十个代码缺陷

安恒恒脑 2024-11-21 19:14:49 622人浏览

概要:

谷歌的OSS-Fuzz项目利用大型语言模型(LLMs)帮助识别代码库中的漏洞,近期发现了26个安全漏洞,其中包括广泛使用的OpenSSL库中的一个关键缺陷(CVE-2024-9143)。这一发现凸显了AI在网络安全领域的重要性,尤其是在发现长期存在但难以被人类检测到的漏洞方面。

主要内容:

谷歌的安全团队表示,OpenSSL的漏洞可能存在了近20年,传统的人类驱动的模糊测试无法发现此类问题。OSS-Fuzz项目通过注入意外或随机数据来捕捉软件中的错误,显示出AI驱动的模糊测试工具在安全研究中的巨大潜力。谷歌还提到,cJSON项目中的一个漏洞同样是由AI发现,而人类编写的模糊测试未能检测到。

此外,谷歌在本月初宣布,基于LLM的漏洞猎手工具Big Sleep首次发现了一个未知的可利用内存安全缺陷。与此同时,位于西雅图的Protect AI发布了一个开源工具Vulnhuntr,利用Anthropic的Claude LLM在Python项目中寻找零日漏洞。谷歌计划在2024年初将OSS-Fuzz作为开源项目推出,并致力于进一步改善模糊测试的覆盖率。

谷歌的目标是通过LLM自动化整个漏洞修复流程,包括生成针对漏洞的建议补丁。安全专家们认为,随着网络攻击手段的不断演变,AI的应用将成为提升安全防护能力的关键。
安全漏洞 零日漏洞 科技公司 IT行业
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。