Google, yapay zeka destekli bulanıklaştırma aracı OSS-Fuzz’ın, aralarında OpenSSL şifreleme kütüphanesindeki orta önemdeki bir kusurun da bulunduğu çeşitli açık kaynak kod depolarındaki 26 güvenlik açığını tespit etmeye yardımcı olmak için kullanıldığını açıkladı.
Google’ın açık kaynak güvenlik ekibi, The Hacker News ile paylaşılan bir blog yazısında, “Bu belirli güvenlik açıkları, otomatik güvenlik açığı bulma konusunda bir dönüm noktasını temsil ediyor: her biri, yapay zeka tarafından oluşturulan ve geliştirilmiş bulanık hedefler kullanılarak yapay zeka ile bulundu.” dedi.
Söz konusu OpenSSL güvenlik açığı, uygulamanın çökmesine veya uzaktan kod yürütülmesine neden olabilecek bir sınır dışı bellek yazma hatası olan CVE-2024-9143’tür (CVSS puanı: 4,3). Bu sorun OpenSSL 3.3.3, 3.2.4, 3.1.8, 3.0.16, 1.1.1zb ve 1.0.2zl sürümlerinde giderilmiştir.
Ağustos 2023’te OSS-Fuzz’da bulanıklaştırma kapsamını iyileştirmek için büyük dil modellerinden (LLM’ler) yararlanma yeteneğini ekleyen Google, güvenlik açığının kod tabanında muhtemelen yirmi yıldır mevcut olduğunu ve “bununla keşfedilemeyeceğini” söyledi. insanlar tarafından yazılmış mevcut tüyler ürpertici hedefler.”
Ayrıca teknoloji devi, bulanık hedefler oluşturmak için yapay zeka kullanımının 272 C/C++ projesinde kod kapsamını iyileştirdiğini ve 370.000’den fazla yeni kod satırı eklediğini belirtti.
Google, “Bu tür hataların bu kadar uzun süre keşfedilmeden kalmasının bir nedeni, hat kapsamının bir işlevin hatasız olduğunun garantisi olmamasıdır” dedi. “Bir ölçüm olarak kod kapsamı, olası tüm kod yollarını ve durumlarını ölçemez; farklı bayraklar ve konfigürasyonlar farklı davranışları tetikleyerek farklı hataları ortaya çıkarabilir.”
Yapay zeka destekli bu güvenlik açığı keşifleri, aynı zamanda LLM’lerin bir geliştiricinin bulanık iş akışını taklit etmede usta olduklarını kanıtlamaları ve böylece daha fazla otomasyona izin vermeleri sayesinde mümkün olmaktadır.
Bu gelişme, şirketin bu ayın başlarında Big Sleep adlı LLM tabanlı çerçevesinin SQLite açık kaynak veritabanı motorunda sıfır gün güvenlik açığının tespitini kolaylaştırdığını açıklamasının ardından geldi.
Buna paralel olarak Google, kendi kod tabanlarını Rust gibi bellek açısından güvenli dillere geçirmek için çalışıyor ve aynı zamanda bir kod parçasının amaçlananın dışındaki belleğe erişmesi mümkün olduğunda ortaya çıkan uzamsal bellek güvenliği açıklarını ele alacak mekanizmaları da güçlendiriyor. sınırlar – Chrome dahil mevcut C++ projeleri dahilinde.
Buna, Güvenli Arabelleklere geçiş ve önemli bir uzamsal güvenlik hatası sınıfını ortadan kaldırmak amacıyla standart C++ veri yapılarına sınır denetimi ekleyen güçlendirilmiş libc++’nın etkinleştirilmesi de dahildir. Ayrıca, değişikliğin dahil edilmesinin bir sonucu olarak ortaya çıkan genel giderin minimum düzeyde olduğunu (yani ortalama %0,30 performans etkisi) kaydetti.
Google, “Açık kaynak katkıda bulunanlar tarafından yakın zamanda eklenen güçlendirilmiş libc++, üretimde sınır dışı erişimler gibi güvenlik açıklarını yakalamak için tasarlanmış bir dizi güvenlik kontrolü sunuyor” dedi. “C++ tamamen bellek açısından güvenli olmayacak olsa da, bu iyileştirmeler riski azaltıyor […]daha güvenilir ve emniyetli bir yazılıma yol açıyor.”