AI помогна на Google да открие 26 уязвимости на софтуер с отворен код
Гугъл употребява изкуствен интелект, с цел да разпознава 26 нови уязвимости в планове с отворен код, в това число и неточност в OpenSSL, която остана неоткрита в продължение на две десетилетия. Наречен CVE-2024-9143, бъгът е обвързван с “изхода от границите на паметта “, който причиняваше сривове на програмата и в редки случаи започва злоумишлен код.
За да търсят уязвимости и да автоматизират процеса, разработчиците на Гугъл са употребявали метода на “фаза-тестване “ (fuzz testing), при който случайни данни се зареждат в кода, с цел да се разпознават вероятните неточности. В блога на компанията се отбелязва, че методът е бил в потребление на силата на огромните езикови модели (LLM) за генериране на повече количества цели на фазинга.
Установено е, че LLM се е оказал „ високоефективен в емулацията на целия работен развой на типичния разработчик за писане, тестване и подбиране на неточности. “ В резултат на това изкуственият разсъдък е бил употребен за тестване на 272 софтуерни плана, където са открити 26 уязвимости, в това число „ античен “ бъг в OpenSSL.
Според откривателите, повода, заради която грешката е останала незабелязана в продължение на 20 години, е, че е било мъчно да се тестват обособени скриптове на кода и тъй като кодът се е смятал за към този момент подробно тестван и затова не е привлякъл доста внимание. „ Тестовете не могат да мерят всички вероятни пътища, през които може да се извърши една стратегия. Различните настройки, знамена и конфигурации също могат да задействат разнообразни държания, които разкриват нови уязвимости “ — обясниха специалистите. За благополучие, грешката е с ниска тежест заради минималния риск от употреба на процеса.
Преди разработчиците ръчно пишеха код за фазинг-тестове, само че в този момент Гугъл възнамерява да научи AI освен да намира уязвимости, само че и автоматизирано да предлага корекции, минимизирайки човешката интервенция. „ Нашата цел е да достигнем равнище, на което сме уверени в способността да се оправяме без ръчна инспекция “ — споделиха от компанията.
