Nov 21, 2024Ravie LakshmananArtificial Intelligence/Software Security Google imefichua kuwa zana yake ya fuzzing inayotumia AI, OSS-Fuzz, imetumika kusaidia kutambua udhaifu 26 katika hazina mbalimbali za misimbo huria, ikiwa ni pamoja na dosari ya ukali wa wastani katika maktaba ya kriptografia ya OpenSSL. “Udhaifu huu mahususi unawakilisha hatua muhimu ya kupata athari kiotomatiki: kila moja ilipatikana na AI, kwa kutumia shabaha za fuzz zinazozalishwa na AI,” timu ya usalama ya Google ya chanzo huria ilisema katika chapisho la blogu lililoshirikiwa na The Hacker News. Athari ya OpenSSL inayozungumziwa ni CVE-2024-9143 (alama ya CVSS: 4.3), hitilafu ya kuandika kumbukumbu ya nje ya mipaka ambayo inaweza kusababisha programu kuacha kufanya kazi au utekelezaji wa msimbo wa mbali. Suala hilo limeshughulikiwa katika matoleo ya OpenSSL 3.3.3, 3.2.4, 3.1.8, 3.0.16, 1.1.1zb, na 1.0.2zl. Google, ambayo iliongeza uwezo wa kutumia modeli kubwa za lugha (LLMs) ili kuboresha utangazaji wa fuzzing katika OSS-Fuzz mnamo Agosti 2023, ilisema hatari hiyo imekuwepo kwenye msingi wa msimbo kwa miongo miwili na kwamba “haingegunduliwa na malengo yaliyopo ya fuzz yaliyoandikwa na wanadamu.” Zaidi ya hayo, kampuni kubwa ya teknolojia ilibainisha kuwa matumizi ya AI kuzalisha malengo ya fuzz yameboresha usambazaji wa msimbo katika miradi 272 ya C/C++, na kuongeza zaidi ya mistari 370,000 ya msimbo mpya. “Sababu moja ambayo hitilafu kama hizo zinaweza kubaki bila kugunduliwa kwa muda mrefu ni kwamba chanjo ya laini sio hakikisho kwamba utendakazi hauna hitilafu,” Google ilisema. “Utoaji wa msimbo kama kipimo hauwezi kupima njia na hali zote za msimbo—bendera na usanidi tofauti huenda ukaanzisha tabia tofauti, kugundua hitilafu tofauti.” Ugunduzi huu wa uwezekano wa kuathiriwa unaosaidiwa na AI pia unawezeshwa na ukweli kwamba LLM zinathibitisha kuwa mahiri katika kuiga mtiririko wa kazi wa msanidi programu, na hivyo kuruhusu uwekaji otomatiki zaidi. Maendeleo hayo yanakuja kama kampuni ilifichua mapema mwezi huu kwamba mfumo wake wa LLM unaoitwa Kulala Kubwa uliwezesha ugunduzi wa hatari ya siku sifuri katika injini ya hifadhidata ya chanzo huria ya SQLite. Sanjari na hayo, Google imekuwa ikifanya kazi ya kubadilisha misingi yake ya msimbo hadi lugha salama kwa kumbukumbu kama vile Rust, huku pia ikirekebisha mbinu za kushughulikia udhaifu wa usalama wa kumbukumbu ya anga – ambayo hutokea inapowezekana kwa kipande cha msimbo kufikia kumbukumbu ambayo iko nje ya iliyokusudiwa. mipaka – ndani ya miradi iliyopo ya C++, ikijumuisha Chrome. Hii ni pamoja na kuhamia Vihifadhi Salama na kuwezesha libc++ ngumu, ambayo huongeza ukaguzi wa mipaka kwa miundo ya kawaida ya data ya C++ ili kuondoa aina kubwa ya hitilafu za usalama anga. Ilibainisha zaidi kwamba malipo ya ziada yaliyopatikana kutokana na kujumuisha mabadiliko hayo ni machache (yaani, wastani wa athari ya utendaji ya 0.30%). “Libc++ iliyoimarishwa, iliyoongezwa hivi majuzi na wachangiaji wa programu huria, inatanguliza ukaguzi wa usalama ulioundwa ili kupata udhaifu kama vile ufikiaji wa nje ya mipaka katika uzalishaji,” Google ilisema. “Ingawa C++ haitakuwa salama kabisa katika kumbukumbu, maboresho haya hupunguza hatari […]inayoongoza kwa programu zinazotegemeka na salama zaidi.” Je, umepata makala haya ya kuvutia? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee zaidi tunayochapisha.