Google повідомила, що її інструмент фазз-тестування OSS-Fuzz, оснащений штучним інтелектом, допоміг виявити 26 вразливостей у відкритих програмних проєктах, серед яких середньої серйозності помилка в бібліотеці шифрування OpenSSL.
Зокрема, вразливість CVE-2024-9143 (CVSS: 4.3) у OpenSSL є помилкою запису поза межі пам’яті, яка може призводити до збоїв у додатку або навіть до виконання шкідливого коду. Проблема була вирішена в останніх версіях OpenSSL: 3.3.3, 3.2.4, 3.1.8, 3.0.16, 1.1.1zb і 1.0.2zl.
Роль ШІ у фазз-тестуванні
Google впровадила використання великих мовних моделей (LLMs) для покращення покриття фазз-тестування в OSS-Fuzz у серпні 2023 року. Згідно з повідомленням компанії, вразливість у OpenSSL, ймовірно, існувала в коді понад 20 років і залишалася невиявленою через обмеження традиційних методів тестування, які використовували люди.
Інструмент OSS-Fuzz з використанням ШІ значно розширив охоплення коду в 272 проєктах на C/C++, додавши понад 370 тисяч рядків нового коду для тестування.
“Кодове покриття не гарантує, що функція не має помилок”, — зазначає Google. “Різні конфігурації та прапорці можуть викликати різну поведінку програми, розкриваючи приховані помилки”.
Інші досягнення Google у кібербезпеці
Google також працює над вдосконаленням просторової безпеки пам’яті, яка забезпечує захист від доступу до пам’яті за межами її допустимих значень. Для цього компанія переходить на мови програмування з безпекою пам’яті, такі як Rust, і вдосконалює існуючі проєкти на C++.
Зокрема, у браузері Chrome Google використовує Safe Buffers та посилені версії libc++ для перевірки меж стандартних структур даних C++. Це допомагає зменшити ризик появи вразливостей у продуктивному середовищі з мінімальним впливом на продуктивність (в середньому лише 0.30%).
Big Sleep і нові можливості
На додаток до OSS-Fuzz, Google розробила платформу Big Sleep, яка також використовує LLM для автоматизованого виявлення вразливостей. Раніше цього місяця Big Sleep допомогла знайти нульову вразливість у базі даних SQLite.
Ці досягнення демонструють важливість інтеграції ШІ в процеси кібербезпеки, що дозволяє виявляти складні вразливості та робить програмне забезпечення більш захищеним і надійним.
