Google的OSSFuzz工具增强AI能力，发现26个新漏洞

重点内容

Google的OSSFuzz工具在AI能力增强下，发现了26个新漏洞，其中包括OpenSSL库中的一个长期被忽视的缺陷。OSSFuzz自2016年起持续测试多个开源项目，近期其AI驱动的模糊测试框架进一步提升功能。所有发现的漏洞均已报告给相关维护者，OpenSSL的漏洞被追踪为CVE20249143。

Google最近在其OSSFuzz工具中引入了增强的人工智能功能，成功发现了包括一个在重要OpenSSL库中的长久忽视缺陷在内的26个新漏洞。OSSFuzz是谷歌开发的一种模糊测试系统，自2016年来，该系统一直用于持续测试数百个开源项目。谷歌于2023年8月首次宣布将大型语言模型LLMs的能力引入OSSFuzz，主要集中在使用LLMs开发模糊测试目标，这是模糊测试过程中的一项耗时手动步骤。

自那时以来，谷歌进一步改善其AI驱动的模糊测试框架，加入了额外功能，包括自动修复编译问题和其他错误的能力，并在进行故障分类的同时持续运行最终目标，谷歌在周三的博客中表示。详细信息请见此处。

在目标开发步骤中，自动生成与项目相关的更多上下文信息，以便包括在LLM的提示中，从而降低了虚构信息的可能性。在过去一年半里所作的改进使OSSFuzz中的272个C/C项目的代码覆盖率得到了提升，总计新增了超过370000行被覆盖的代码。

飞鸟加速器官方版

通过使用AI驱动的模糊测试工具，谷歌发现了a total of 26 bugs在开源项目中，这些问题在没有LLM生成的新目标的情况下是无法被发现的。在这26个案例中，Vertex AI的codebison模型被用作LLM组件，尽管谷歌的AI驱动模糊测试框架也支持其他模型，包括Gemini模型和OpenAI的GPT模型。

大多数发现的漏洞是越界读取的缺陷，其中最引人注目的一个是OpenSSL中的越界读/写缺陷，被追踪为CVE20249143，谷歌表示这一漏洞在经过数十万小时的模糊测试后，仍被忽视了20年。所有缺陷已报告给相关维护者，OpenSSL的缺陷于2024年9月报告并于2024年10月修复。

目前，谷歌的AI驱动OSSFuzz系统遵循一个四步流程，首先基于对测试项目的详细信息草拟初步模糊目标。接下来，目标被编译，任何编译错误都会向LLM呈现，LLM会进行分析并生成可应用的修复方案。

该流程的第三步涉及初始运行模糊目标，以识别和解决可能导致运行时问题和立即崩溃的目标本身的问题，LLM也能通过谷歌开发的提示执行此操作。最后，最终模糊目标会持续运行，并利用LLM进行故障分类，以确定根本原因，包括软件中任何先前未被发现的漏洞。

谷歌计划最终进一步完善其AI驱动的OSSFuzz过程，使其更为自主，从而减少人工审核的需要，以便由AI代理自动上报漏洞给项目维护者。同时，还计划为AI提供更多资源和工具，例如调试器，以便它能自主地获取更多信息并验证其结果，而无需人工干预，类似于另一个谷歌项目Big Sleep，该项目利用LLM代理模拟人类安全研究员的工作流程。

谷歌的人工智能模糊测试工具发现26个新漏洞媒体