Google yayınladı açık kaynaklı bir kaynak olarak fuzzing çerçevesi geliştiricilerin ve araştırmacıların yazılımdaki güvenlik açıklarını bulma yöntemlerini geliştirmelerine yardımcı olmak. Fuzz testinin manuel yönlerini otomatikleştiren çerçeve, kod kapsamını artırmak amacıyla projeye özel kod yazmak için büyük dil modelleri (LLM’ler) kullanıyor. Açık kaynaklı bulanıklaştırma aracı, Vertex AI code-bison, Vertex AI code-bison-32k, Gemini Pro, Open AI-3.5-turbo ve OpenAI GPT-4 desteğini içerir.
LLM, oluşturulan fuzz hedeflerini üretim ortamından gelen güncel verilere göre dört ölçüm üzerinden değerlendirmek için kullanılır: derlenebilirlik, çalışma zamanı çökmeleri, çalışma zamanı kapsamı ve çalışma zamanı hattı kapsamı.
Google, “Genel olarak, bu çerçeve, 160 C/C++ projesi için geçerli fuzz hedefleri (sıfır olmayan kapsama artışı üreten) oluşturmak için LLM’lerden başarılı bir şekilde yararlanmayı başarıyor. Maksimum hat kapsamı artışı, mevcut insan tarafından yazılmış hedeflerden %29’dur.” .
Google, halihazırda 300’den fazla C ve C++ projesinde yüksek lisanslarla birlikte fuzzing’i kullandı ve potansiyel olarak daha fazla güvenlik açığı bulmak için kod kapsamını genişletti. Bu teknik aynı zamanda cJSON (C ile yazılmış JSON dizilerini okumak için bir ayrıştırıcı) ve libplist’te (ikili veya XML biçiminde Apple Mülk Listesi biçimini işlemek için bir C++ kitaplığı) iki güvenlik açığının keşfedilmesine de yardımcı oldu.
Google Açık Kaynak Güvenlik ekibi üyeleri Dongge Liu ve Oliver Chang ile Güvenlik ekibi üyeleri Jan tarafından Google Güvenlik Blogunda yayınlanan bir gönderiye göre, “Tamamen Yüksek Lisans tarafından oluşturulan kod olmasaydı, bu iki güvenlik açığı süresiz olarak keşfedilmeden ve düzeltilmeden kalabilirdi.” Nowakowski ve Jan Keller.
Güvenlik açıklarını bulmak için sadece bulanıklaştırmayı kullanmak yeterli değildir. Google, Yüksek Lisans’ların kod düzeltmeleri oluşturmasını, bunları test etmesini ve kurulum için en iyi seçeneğin hangisi olduğunu seçmesini sağlayacak yöntemler üzerinde çalışıyor.
Ekip, “Yapay zeka destekli bu yamalama yaklaşımı, hedeflenen hataların %15’ini çözerek mühendislere önemli ölçüde zaman tasarrufu sağladı” diye yazdı.