首页 > 其他分享 >Google 提供基于AI的模糊测试框架

Google 提供基于AI的模糊测试框架

时间:2024-09-24 10:24:23浏览次数:12  
标签:Google 测试 安全 AI 模糊 漏洞 谷歌 LLM

人工智能驱动的 OSS-Fuzz 工具可以帮助发现漏洞,并与自动修补管道相结合。

图片

       模糊测试可以成为找出软件中零日漏洞的宝贵工具。为了鼓励开发人员和研究人员使用它,谷歌周三宣布,免费提供其模糊测试框架OSS-Fuzz。

       根据谷歌的说法,通过使用该框架在大型语言模型(LLM)的帮助下自动执行模糊测试方面,可以获得切实的安全提升。“我们使用LLM来编写特定于项目的代码,以提高模糊测试覆盖率并发现更多漏洞,”谷歌开源安全团队成员Dongge Liu和Oliver Chang以及机器语言安全团队成员Jan Nowakowski和Jan Keller在公司博客中写道。

       他们指出,到目前为止,OSS-Fuzz 及其由 LLM 生成的改进模糊测试策略已经让 Google 在 cJSON 和 libplist 中发现了两个新漏洞,尽管这两个广泛使用的项目已经被模糊测试了多年。他们补充说,如果没有完全由LLM生成的代码,这两个漏洞可能会很难被发现和修复。

模糊测试是一种自动化测试

       Synopsys Software Integrity Group 的高级安全产品经理 John McShane 表示:“模糊测试已经存在了几十年,并且因其成功发现以前未知或零日漏洞而越来越受欢迎,Synopsys Software Integrity Group 是一家针对 DevSecOps 优化的安全平台提供商。“臭名昭著的 Heartbleed 漏洞是由安全工程师使用商业模糊测试产品 Defensics 发现的。”

       模糊测试可以捕获很多“唾手可得的果实”,但它也可能暴露一些高影响的项目,例如缓冲区溢出,渗透测试公司 Cobalt Labs 的网络安全服务主管 Gisela Hinojosa 补充道。“由于模糊测试是一项自动化测试,因此不需要额外的人员参与,”她说。“它只会做它的事情,你真的不必担心它。这是一种相对容易发现漏洞的方法。

模糊测试不能替代安全设计策略

       然而,Rust基金会的顾问、华盛顿特区国际事务和经济智库大西洋理事会的高级研究员Shane Miller警告说,“对模糊测试等动态测试工具的投资并不能替代设计安全策略,比如选择内存安全的编程语言,但它们是提高软件安全性的有力工具。

       Miller 补充道:“模糊测试通过探索具有意外输入的软件行为来扩大测试范围,这些输入可以发现漏洞,例如最近针对美国水处理厂、电网、石油和天然气管道以及交通枢纽的国家支持的网络攻击中利用的漏洞。

       虽然模糊测试对开发人员有益,但它的手动确认方面一直阻碍开源维护者有效地模糊测试他们的项目——谷歌希望通过免费提供对其模糊测试框架来解决这一问题。“由于开源维护者通常是没有资金或资金有限的志愿者,因此花时间并支付运行资源密集型工具的成本并不总是可行的,”软件供应链安全公司Dark Sky Technology的首席执行官Michael J. Mehlberg说。

       “即使是这样,”Mehlberg 继续说道,“模糊测试工具也会使原本简单的构建环境复杂化,可能会产生大量误报,从而为已经捉襟见肘的团队带来审查和分析工作,并可能产生由于网络安全技能或经验不足而无法采取的行动。

安全是漏洞修复中最重要的一环

       谷歌还为开发人员和研究人员提供了使用LLM构建自动修补管道的指导。“这种人工智能驱动的补丁方法解决了15%的目标错误,为工程师节省了大量时间,”谷歌安全团队成员在他们的博客中写道。

       虽然使用 LLM 自动打补丁是一个有趣的想法,但 Hinojosa 指出,挑战在于 LLM 是否拥有在不破坏事物的情况下有效打补丁所需的所有上下文知识。“我认为自动化系统提出修复建议是一个好主意,但人类在实施之前手动审查它。

       “总的来说,打补丁最重要的部分不是自动化,而是安全,”普渡大学计算机科学助理教授Dave (Jing) Tian补充道。“事实证明,证明一个补丁完全符合其应有的作用并非易事,”他说。“因此,就目前而言,只能自动修复有限数量的漏洞类别。这些补丁很简单,例如将变量的 32 位整数更改为 64 位整数。对于更复杂的补丁,我们仍然需要并且应该要求领域专家在AI自动注入补丁后对其进行审查。

oss-fuzz-gen项目地址:https://github.com/google/oss-fuzz-gen

文章来源:csoonline

标签:Google,测试,安全,AI,模糊,漏洞,谷歌,LLM
From: https://blog.csdn.net/weixin_45581780/article/details/142482894

相关文章

  • async await执行顺序
    asyncawait执行顺序async/await 是用于编写异步代码的语法糖,它允许你以类似于同步代码的方式写异步操作。async 关键字声明的函数会返回一个Promise,而 await 关键字用于等待一个Promise完成。执行顺序如下:调用 async 函数。函数会继续执行,遇到 await 时,控制......
  • 使用Copilot AI解决openwrt 19.07 nas samba在Windows网络[网上邻居]中无法看到的问题
    1.问题缘由我的一台openwrt路由可以在Win11的网络中看到,另一台自己刷的openwrt19.07nas却在win11网络中看不到,但直接用IP可以访问其samba3.6共享的文件夹。为何这台不能被Windows发现呢?2.问题解决自己搜索了下,找不到解决方案,问了下Googlegemini,回答不能解决,有点答非所闻......
  • 排查Linux中free -h 显示的 available 小于 free 值
    一、服务器上使用free-h命令显示如下 正常情况下:total=free+used+buff/cacheavailable=free+可回收的buff/cache理论上 available至少应该等于free,free尚未使用内存,available:可用内存,可用内存=尚未使用内存+可回收的buff/cache但是上面显示的available大大小于free值。......
  • 安装阿里图文融合AI - AnyText心路历程(安装失败告终,心痛!)
    Windows环境下安装AnyText。大致的安装流程:参考:https://zhidao.baidu.com/question/636353961646106444.htmlwindows打开终端:参考:https://baijiahao.baidu.com/s?id=1792666163328932147&wfr=spider&for=pc安装Ubuntu:参考:https://baijiahao.baidu.com/s?id=1......
  • 笔魂AI绘画工具使用感受
    在数字化艺术的浪潮中,AI技术正逐渐成为推动创意产业发展的重要力量。作为一名数字艺术家,我近期有幸体验了一款名为“笔魂AI绘画”的工具,它以其独特的功能和便捷的操作界面给我带来了全新的创作体验。笔魂AI绘画工具的使用过程非常直观。初次打开软件时,其简洁明了的界面设计让人一目......
  • metaflow netflix开源的数据科学ML&AI 框架
    metaflownetflix开源的数据科学ML&AI框架,类似的也有kedro,metaflow相比kedro来说对于云原生周边支持的更加友好一张图了解metaflow能力如下图,很清晰的说明了metaflow的能力,而且都是基于代码声明的说明metaflow官方文档比较详细,使用上相比kedro基于项目代码结构的模式......
  • ORA-38500: USING CURRENT LOGFILE option not available without stand
    在dataguard启用实时恢复的时候,报如下错误:ORA-38500:USINGCURRENTLOGFILEoptionnotavailablewithoutstand实际操作:SQL>alterdatabaserecovermanagedstandbydatabaseusingcurrentlogfiledisconnectfromsession;alterdatabaserecovermanagedstandbydata......
  • 【专题】2024AI智慧生活白皮书:AI智能科技重塑居家体验报告合集PDF分享(附原数据表)
    原文链接:https://tecdat.cn/?p=37748AI已然成为家电家居市场的创新核心动力,可在个性化识别、预测维护等多方面提升产品价值。家享生活行业智能化展现多元场景,清洁智能崛起超厨房智能居第二,全屋智能潜力巨大。“套装/集成智能”等品类增长快,智能新客多由老客升级,消费有时序性,......
  • RAG技术全面解析:Langchain4j如何实现智能问答的跨越式进化?
    LLM的知识仅限于其训练数据。如希望使LLM了解特定领域的知识或专有数据,可:使用本节介绍的RAG使用你的数据对LLM进行微调结合使用RAG和微调1啥是RAG?RAG是一种在将提示词发送给LLM之前,从你的数据中找到并注入相关信息的方式。这样,LLM希望能获得相关的信息并利用......
  • 21 种 AI 小模型
    近年来,人工智能取得了显著的进步,像GPT-4这样的大型语言模型上了头条。然而,一个新的趋势正在出现:小型语言模型(smalllanguagemodels,SLMs)。这些模型虽然更紧凑和高效,但提供了重要的功能,并且越来越多地被各行业采用。以下是21种正在塑造AI未来的小型语言模型。1.DistilB......