【安全资讯】谷歌AI漏洞猎手发现超过二十个代码缺陷

概要：

谷歌的OSS-Fuzz项目利用大型语言模型（LLMs）帮助识别代码库中的漏洞，近期发现了26个安全漏洞，其中包括广泛使用的OpenSSL库中的一个关键缺陷（CVE-2024-9143）。这一发现凸显了AI在网络安全领域的重要性，尤其是在发现长期存在但难以被人类检测到的漏洞方面。

主要内容：

谷歌的安全团队表示，OpenSSL的漏洞可能存在了近20年，传统的人类驱动的模糊测试无法发现此类问题。OSS-Fuzz项目通过注入意外或随机数据来捕捉软件中的错误，显示出AI驱动的模糊测试工具在安全研究中的巨大潜力。谷歌还提到，cJSON项目中的一个漏洞同样是由AI发现，而人类编写的模糊测试未能检测到。

此外，谷歌在本月初宣布，基于LLM的漏洞猎手工具Big Sleep首次发现了一个未知的可利用内存安全缺陷。与此同时，位于西雅图的Protect AI发布了一个开源工具Vulnhuntr，利用Anthropic的Claude LLM在Python项目中寻找零日漏洞。谷歌计划在2024年初将OSS-Fuzz作为开源项目推出，并致力于进一步改善模糊测试的覆盖率。

谷歌的目标是通过LLM自动化整个漏洞修复流程，包括生成针对漏洞的建议补丁。安全专家们认为，随着网络攻击手段的不断演变，AI的应用将成为提升安全防护能力的关键。