Неділя, 22 Грудня, 2024

Google використовує ШІ для пошуку 26 вразливостей у відкритому коді

Google повідомила, що її інструмент фазз-тестування OSS-Fuzz, оснащений штучним інтелектом, допоміг виявити 26 вразливостей у відкритих програмних проєктах, серед яких середньої серйозності помилка в бібліотеці шифрування OpenSSL.

Зокрема, вразливість CVE-2024-9143 (CVSS: 4.3) у OpenSSL є помилкою запису поза межі пам’яті, яка може призводити до збоїв у додатку або навіть до виконання шкідливого коду. Проблема була вирішена в останніх версіях OpenSSL: 3.3.3, 3.2.4, 3.1.8, 3.0.16, 1.1.1zb і 1.0.2zl.

Роль ШІ у фазз-тестуванні

Google впровадила використання великих мовних моделей (LLMs) для покращення покриття фазз-тестування в OSS-Fuzz у серпні 2023 року. Згідно з повідомленням компанії, вразливість у OpenSSL, ймовірно, існувала в коді понад 20 років і залишалася невиявленою через обмеження традиційних методів тестування, які використовували люди.

Інструмент OSS-Fuzz з використанням ШІ значно розширив охоплення коду в 272 проєктах на C/C++, додавши понад 370 тисяч рядків нового коду для тестування.

“Кодове покриття не гарантує, що функція не має помилок”, — зазначає Google. “Різні конфігурації та прапорці можуть викликати різну поведінку програми, розкриваючи приховані помилки”.

Інші досягнення Google у кібербезпеці

Google також працює над вдосконаленням просторової безпеки пам’яті, яка забезпечує захист від доступу до пам’яті за межами її допустимих значень. Для цього компанія переходить на мови програмування з безпекою пам’яті, такі як Rust, і вдосконалює існуючі проєкти на C++.

Зокрема, у браузері Chrome Google використовує Safe Buffers та посилені версії libc++ для перевірки меж стандартних структур даних C++. Це допомагає зменшити ризик появи вразливостей у продуктивному середовищі з мінімальним впливом на продуктивність (в середньому лише 0.30%).

Big Sleep і нові можливості

На додаток до OSS-Fuzz, Google розробила платформу Big Sleep, яка також використовує LLM для автоматизованого виявлення вразливостей. Раніше цього місяця Big Sleep допомогла знайти нульову вразливість у базі даних SQLite.

Ці досягнення демонструють важливість інтеграції ШІ в процеси кібербезпеки, що дозволяє виявляти складні вразливості та робить програмне забезпечення більш захищеним і надійним.

НАПИСАТИ ВІДПОВІДЬ

Коментуйте, будь-ласка!
Будь ласка введіть ваше ім'я

TechToday
TechTodayhttps://techtoday.in.ua
TechToday – це офіційний акаунт, яким користується редакція ресурсу

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися