Компания Google сообщила, что её инструмент OSS-Fuzz, работающий на основе искусственного интеллекта, помог обнаружить 26 уязвимостей в различных репозиториях открытого кода, включая уязвимость средней степени опасности в криптографической библиотеке OpenSSL.
«Эти конкретные уязвимости представляют собой важную веху в автоматизированном поиске уязвимостей: каждая из них была найдена с помощью искусственного интеллекта», – говорится в сообщении команды Google по безопасности открытого кода.
Уязвимость в OpenSSL – CVE-2024-9143 (CVSS score: 4.3), ошибка записи в память, которая может привести к аварийному завершению работы приложения или удалённому выполнению кода. Проблема была устранена в OpenSSL версий 3.3.3, 3.2.4, 3.1.8, 3.0.16, 1.1.1zb и 1.0.2zl.
Компания Google, которая добавила возможность использования больших языковых моделей (LLM) для улучшения охвата фаззинга в OSS-Fuzz в августе 2023 года, заявила, что уязвимость, вероятно, присутствовала в коде в течение двух десятилетий и что она «не была бы обнаружена с помощью существующих фаззинг-целей, написанных людьми».
Кроме того, технологический гигант отметил, что использование искусственного интеллекта позволило улучшить полноту охвата кода в 272 проектах на C/C++, добавив более 370 000 строк нового кода.
Обнаружение уязвимостей с помощью искусственного интеллекта стало возможным благодаря тому, что LLM оказались способны эмулировать рабочий процесс разработчика, что позволило повысить степень автоматизации.
В начале этого месяца компания сообщила, что её фреймворк на основе LLM под названием Big Sleep помог обнаружить уязвимость нулевого дня в движке баз данных с открытым исходным кодом SQLite.
Ещё по теме:
- Безпарольное будущее: более 200 компаний внедрили Passkeys в свои сервисы
- Apple Music представила коллекцию плейлистов «Лучшее за 2024 год»
- TSMC готовится к массовому производству чипов по 2-нм техпроцессу к 2025 году
