Buttercup, açık kaynaklı yazılımlarda güvenlik açıklarını bulan ve düzelten ücretsiz, otomatik, AI ile çalışan bir platformdur. Trail of Bits tarafından geliştirilen Darpa’nın AI Cyber Challenge (AIXCC) ‘de ikinci sırada yer aldı.
Ana bileşenler
Buttercup, her biri güvenlik açıklarının bulunmasında ve düzeltilmesinde farklı bir rol oynayan dört ana bileşenden oluşur.
Orkestrasyon/UI bileşeni, sistemin diğer bölümlerinin eylemlerini koordine ederek ve keşfettiği güvenlik açıklarını ve ürettiği yamaları gösteren her şeyin sorunsuz çalışmasını sağlar. Standart web arayüzünün yanı sıra, Buttercup ayrıca bir Signoz telemetri sunucusuna günlükler ve sistem etkinlikleri gönderir, böylece perde arkasında ne yaptığını görebilirsiniz.
Güvenlik Açığı Discovery Engine, güvenlik açıklarını ortaya çıkaran program girdilerini ortaya çıkarmak için AI-Augmented Mutasyonel Fuzzing kullanır. OSS-Fuzz/ClusterFuzz üzerine inşa edilmiştir ve sorunları bulmak için ağır kaldırma yapmak için libfuzzer ve cazer kullanır.
Bağlamsal analiz, ayrıntılı, sorgulanabilir program modelleri oluşturmak için geleneksel statik analiz araçlarını kullanarak farklı bir yaklaşım gerektirir. Bu modeller, güvenlik açığı keşfi ve yamayı işleyen AI sistemleri için bağlam sağlamaya yardımcı olur. Buttercup, bu modelleri oluşturmak için ağaç tutucu ve kodşak gibi araçlar kullanır.
Son olarak, yama üretimi düzeltmelerin bir araya geldiği yerdir. Bu çok ajan sistem, Buttercup’ın keşfettiği güvenlik açıkları için yamalar oluşturmak ve doğrulamak için yedi AI ajanı kullanır, bu da düzeltmelerin sağlam olmasını sağlar ve programın geri kalanını kırmaz.
Gereksinimler ve İndir
Buttercup’ı çalıştırmak için minimum gereksinimler arasında en az sekiz çekirdek, 16 GB RAM ve 100 GB mevcut disk alanı olan bir CPU bulunur. Bağımlılıkları indirmek için istikrarlı bir internet bağlantısı da gereklidir.
Çözüm, kullanım maliyetlerine maruz kalan Openai, Antropik ve Google’dan LLM’ler gibi üçüncü taraf AI sağlayıcılarına dayanmaktadır. Yer değiştirme başına giderleri kontrol altında tutmak için yerleşik LLM bütçe ayarını kullanın.
Buttercup GitHub’da ücretsiz olarak kullanılabilir.
Okumalı:
Temel açık kaynaklı siber güvenlik araçları hakkında bilgi sahibi olmak için Net Güvenlik Reklamsız Aylık Bültenine abone olun. BURADA Abone Olun!