Google AI Aracı Açık Kaynak Projelerinde 26 Hata Buldu

Google’ın açık kaynak güvenlik ekibi, “Bu belirli güvenlik açıkları, otomatik güvenlik açığı bulma konusunda bir kilometre taşını temsil ediyor: her biri yapay zeka tarafından oluşturulan ve geliştirilmiş bulanık hedefler kullanılarak yapay zeka ile bulundu” dedi.

OSS-Fuzz aracının bulduğu güvenlik açıkları arasında, OpenSSL şifreleme kitaplığında CVE-2024-9143 olarak izlenen orta önemde bir kusur ve bilgisayar korsanlarının bir uygulamayı çökertmek veya kod yürütmek için kullanabileceği bir sınır dışı bellek yazma hatası vardı. uzaktan. Araştırmacılar, kod tabanında muhtemelen yaklaşık yirmi yıldır mevcut olan güvenlik açığının “insanlar tarafından yazılan mevcut tüysüz hedeflerle” keşfedilemeyeceğini söyledi.

Fuzzing, güvenlik açıklarını ve hataları ortaya çıkarmak için “fuzz” adı verilen beklenmedik veya rastgele verileri bir programa dahil eder. Süreç, bir bayt dizisini kabul etmek ve yazılımın API’si ile etkileşimde bulunmak için tasarlanmış bir işlev olan bulanık bir hedefin tanımlanmasını içerir. Bu hedef, kusurları belirlemek için rastgele veya hatalı biçimlendirilmiş girdiler enjekte edilerek yinelemeli teste tabi tutulur.

Google, blog yazısında “Bu tür hataların bu kadar uzun süre keşfedilmeden kalmasının bir nedeni, hat kapsamının bir işlevin hatasız olduğunun garantisi olmamasıdır” dedi. “Bir ölçüm olarak kod kapsamı, olası tüm kod yollarını ve durumlarını ölçemez. Farklı bayraklar ve konfigürasyonlar, farklı hataları ortaya çıkararak farklı davranışları tetikleyebilir.”

OpenSSL, hatayı Eylül ortasında bildirildikten bir ay sonra düzeltti.

OSS-Fuzz’ın keşfettiği diğer güvenlik açıklarından bazıları henüz giderilmedi.

Geçtiğimiz yılın ağustos ayında Google, OSS-Fuzz’daki bulanıklaştırma kapsamını geliştirmek için büyük dil modellerini kullanmaya başladı. Fuzz hedefleri oluşturmak için yapay zekanın kullanılması, 272 C/C++ projesi için kod kapsamının da iyileştirildiğini ve 370.000’den fazla satır yeni kod eklendiğini belirtti.

Yeni blog, Google’ın, Yüksek Lisans tabanlı çerçevesi Big Sleep’in, SQLite açık kaynak veritabanı motorunda sömürülebilir, belleğe bağlı sıfır gün güvenlik açığını tespit etmeye yardımcı olduğunu söylemesinden haftalar sonra geldi.

Bulanıklaştırma döngüsü, herhangi bir derleme veya çalışma zamanı sorununun tanımlanmasını ve çözülmesini ve sistemin girişi nasıl işlediğini gözlemlemek için sürecin tekrarlanmasını içerir. Bu test sırasındaki çökmeler veya anormal davranışlar, yazılımdaki güvenlik açıklarının veya hataların belirlenmesine yardımcı olabilir. Fuzzing araçları, girdileri yinelemeli olarak iyileştirerek, geliştiricilerin kritik sorunları istismar edilmeden önce tespit etmelerine ve düzeltmelerine yardımcı olur.

Google’ın OSS-Fuzz’ı başlangıçta bulanıklaştırma hedefinin taslağının hazırlanması ve derleme sorunlarının ele alınması gibi bulanıklaştırmanın ilk aşamalarını destekledi. Google açık kaynaklı OSS-Fuzz’dır ve o zamandan bu yana, çalışma zamanı sorunlarını belirlemek ve hataları düzeltmek için bulanıklaştırma hedefini çalıştırmak, çökmeleri ortaya çıkarmak için düzeltilmiş hedeflerin genişletilmiş bulanıklaştırılması ve ardından önceliklendirme gibi, bulanıklaştırmanın sonraki aşamalarını yönetmek için yeteneklerini geliştirmeye çalıştı. Temel nedenleri izlemek ve bulanıklaştırma süreci aracılığıyla belirlenen güvenlik açıklarını ele almak.

Google, LLM’nin artık bulanık iş akışının ilk dört adımını otomatikleştirebileceğini söyledi. Şirketin yol haritası, tam entegre ve otomatikleştirilmiş bir bulanıklaştırma çözümü hedefleyen, güvenlik açıklarının giderilmesi olan beşinci adımı ele alacak şekilde yeteneklerini genişletmeyi içeriyor.

Araştırmacılar, “Amaç, LLM’nin güvenlik açığı için önerilen bir yama oluşturmasını sağlayarak tüm bu iş akışını tamamen otomatikleştirmektir” dedi.