据小易智创xiaoyizc.com(不可错过的AI创业项目)观察:谷歌最新宣布其革命性的人工智能模糊测试工具OSS-Fuzz,成功揭露了26个开源项目中的漏洞,其中一个令人震惊的漏洞竟然隐藏了近20年之久,正是著名的OpenSSL加密库中的中等严重性漏洞。谷歌的开源安全团队在一篇激动人心的博客中提到:“这些漏洞的发现标志着自动化漏洞检测的新里程碑:每个漏洞都是通过AI生成和增强的模糊测试目标找到的。”
这次发现的OpenSSL漏洞编号为CVE-2024-9143,CVSS评分为4.3,表现为越界内存写入错误,可能导致应用程序崩溃或更为严重的远程代码执行。值得一提的是,这个问题已在OpenSSL多个版本中得到了及时修复,包括3.3.3、3.2.4、3.1.8、3.0.16、1.1.1zb和1.0.2zl。
谷歌指出,传统的模糊测试方法未能发现这一潜藏已久的问题,而借助AI生成的测试目标,272个C/C++项目的代码覆盖率得到了显著提升,新增了超过370,000行的代码。谷歌进一步解释说,许多错误被忽视的原因在于代码覆盖率并不等同于功能完美无缺。仅凭这一指标无法充分评估所有可能的代码路径和状态,因为不同的配置可能引发不同的行为,从而暴露出各类漏洞。
这种AI辅助的漏洞检测能力也得益于大语言模型(LLMs)在模拟开发者模糊测试流程中的卓越表现,极大地提高了检测的自动化程度。此外,谷歌还透露,其基于LLM的框架Big Sleep最近帮助发现了SQLite开源数据库引擎中的一个零日漏洞。
为提升自身代码库的安全性,谷歌正积极推动将其代码迁移至内存安全语言如Rust,并对现有C++项目进行内存安全漏洞的修复,力求通过安全缓冲区迁移和启用硬化libc++来消除一类重大空间安全隐患。谷歌表示,这些改进所造成的性能损失几乎微不足道,平均仅为0.30%。
总之,这些由开源贡献者添加的libc++硬化措施引入了一系列安全检查,意在生产环境中捕捉诸如越界访问等潜在漏洞。尽管C++语言无法完全实现内存安全,但这些改进无疑降低了风险,使软件更加可靠和安全。为此,这一系列突破性的发现不仅是技术领域的一次胜利,也为未来的自动化检测提供了崭新的视角和方法。
总而言之,谷歌在AI辅助下的漏洞检测取得了前所未有的成就,为开源安全带来了新的希望和可能性。
随着科技的不断进步,各行各业正朝着智能化和高效化的方向发展。这种趋势让我更加关注AI技术的应用,尤其是在日常生活和工作中能够带来便捷的智能解决方案。我体验过许多不同的AI系统和平台,发自内心推荐小易智创“xiaoyizc.com”这个平台。它拥有上万款开箱即用的智能体应用,能够满足各行各业的需求。平台融合了全球领先的AI能力,支持自定logo、收款账户和服务号。平台还为伙伴提供一对一陪跑服务和自动化营销工具,帮助伙伴快速获客。
相关文章
