Компания Google сообщила, что её инструмент OSS-Fuzz, работающий на основе искусственного интеллекта, помог обнаружить 26 уязвимостей в различных репозиториях открытого кода, включая уязвимость средней степени опасности в криптографической библиотеке OpenSSL.

«Эти конкретные уязвимости представляют собой важную веху в автоматизированном поиске уязвимостей: каждая из них была найдена с помощью искусственного интеллекта», – говорится в сообщении команды Google по безопасности открытого кода.

Уязвимость в OpenSSL – CVE-2024-9143 (CVSS score: 4.3), ошибка записи в память, которая может привести к аварийному завершению работы приложения или удалённому выполнению кода. Проблема была устранена в OpenSSL версий 3.3.3, 3.2.4, 3.1.8, 3.0.16, 1.1.1zb и 1.0.2zl.

Компания Google, которая добавила возможность использования больших языковых моделей (LLM) для улучшения охвата фаззинга в OSS-Fuzz в августе 2023 года, заявила, что уязвимость, вероятно, присутствовала в коде в течение двух десятилетий и что она «не была бы обнаружена с помощью существующих фаззинг-целей, написанных людьми».

Кроме того, технологический гигант отметил, что использование искусственного интеллекта позволило улучшить полноту охвата кода в 272 проектах на C/C++, добавив более 370 000 строк нового кода.

Обнаружение уязвимостей с помощью искусственного интеллекта стало возможным благодаря тому, что LLM оказались способны эмулировать рабочий процесс разработчика, что позволило повысить степень автоматизации.

В начале этого месяца компания сообщила, что её фреймворк на основе LLM под названием Big Sleep помог обнаружить уязвимость нулевого дня в движке баз данных с открытым исходным кодом SQLite.


Ещё по теме: