Watafiti kutoka timu ya Google ya OSS-Fuzz wamefanikiwa kutumia AI kutambua udhaifu 26 katika watunzaji wa miradi huria. Hizi ni pamoja na dosari ambayo imekuwepo kwa miongo miwili katika maktaba ya OpenSSL (CVE-2024-9143), maktaba ya programu ambayo tovuti nyingi za HTTPS hutegemea. Timu ya OSS-Fuzz imesaidia wasimamizi huria katika kurekebisha x zaidi ya udhaifu 11,000 katika kipindi cha miaka minane iliyopita kama sehemu ya Timu ya Usalama ya Google Open Source. Hata hivyo, udhaifu mpya 26 uliotambuliwa ni miongoni mwa wa kwanza kugunduliwa na OSS-Fuzz kwa usaidizi wa AI generative. Hasa, watafiti wa Google walitumia mfumo kulingana na modeli kubwa ya lugha (LLM) iliyofunzwa nyumbani ili kutengeneza fuzz zaidi. malengo. Majaribio ya fuzz, pia hujulikana kama fuzzing, ndiyo njia ya kawaida ya wasanidi programu ili kujaribu programu kwa udhaifu na hitilafu kabla ya kuanza uzalishaji. Mbinu hii inajumuisha kutoa data batili, isiyotarajiwa au nasibu kama pembejeo kwa programu au programu ya kompyuta. Kisha programu inafuatiliwa kwa vighairi kama vile kuacha kufanya kazi, madai ya msimbo ambayo yamejumuishwa ndani, au uvujaji wa kumbukumbu unaowezekana. Malengo ya Fuzz ni maeneo mahususi ya programu au mfumo ambao unajaribiwa au “kuchanganyikiwa” na fuza. Baada ya @Google’s ‘Kulala Kubwa’ kugunduliwa kwa hatari ya ulimwengu halisi, timu yetu ya OSS-Fuzz ilitambua na kuripoti udhaifu 26 kwa wasimamizi wa mradi huria kwa kutumia malengo ya fuzz yanayozalishwa na AI na kuimarishwa. Soma zaidi hapa: https://t.co/6SfPt38ZmE— Heather Adkins – Ꜻ – Spes consilium non est (@argvee) Novemba 20, 2024 LLM kwa Mfumo wa Kuchangamsha Kiotomatiki na Google, iliyoundwa mnamo Agosti 2023 na kutolewa chanzo wazi mnamo Januari 2024 , watafiti wa OSS-Fuzz wanataka kuhariri mchakato wa mwongozo wa kuunda shabaha ya fuzz. Mchakato huu unajumuisha hatua tano zifuatazo: Kuandaa lengo la awali la fuzz Kurekebisha masuala yoyote ya mkusanyiko yanayotokea Kuendesha shabaha ya fuzz ili kuona jinsi inavyofanya kazi, na kurekebisha makosa yoyote dhahiri yanayosababisha matatizo ya wakati wa utekelezaji Kuendesha lengo lililosahihishwa la fuzz kwa muda mrefu, na kujaribu yoyote. Inaacha kufanya kazi ili kubaini chanzo kikuu Kurekebisha udhaifu Watafiti wameweza kutumia LLM yao ya ndani kugeuza hatua mbili za kwanza kiotomatiki na wanashughulikia kutekeleza hatua mbili zifuatazo. Mbinu Inayoendeshwa na Mradi Sifuri wa Google kwa Utafiti wa Mazingira Hatarishi Sambamba na hilo, watafiti katika Project Zero, timu nyingine ya utafiti wa Google, pia wameunda mfumo wa kutumia LLM kwa ugunduzi wa mazingira magumu. Hata hivyo, mbinu yao haijajengwa kwenye uchanganyaji ulioboreshwa kama timu ya OSS-Fuzz, bali inajikita katika mwingiliano kati ya wakala wa AI na seti yake ya zana maalum iliyoundwa kuiga utendakazi wa mtafiti wa usalama wa binadamu na msingi wa kanuni unaolengwa. Mradi huu, unaoitwa Kulala Kubwa, unategemea mfumo wa Naptime. Watafiti wa Project Zero walitangaza mapema Novemba 2024 kwamba walipata udhaifu wao wa kwanza kwa kutumia mbinu hii. Ingawa watafiti walikubali kuwa kwa ujumla, kusumbua kutaendelea kuwa – au zaidi – kufaa kama uchanganuzi wa kuathiriwa unaosaidiwa na LLM, wanatumai kuwa mbinu ya Kulala Kubwa inaweza kuambatana na mbinu za kutatanisha kwa kugundua udhaifu ambapo fuzzi haikufaulu. Soma sasa: Jinsi ya Kufichua, Kuripoti na Kurekebisha Athari za Programu