Сегодня 21 декабря 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

ИИ помог Google выявить 26 уязвимостей в открытом ПО, включая двадцатилетнюю

Google с помощью искусственного интеллекта выявила 26 новых уязвимостей в проектах с открытым исходным кодом (Open Source), включая баг в OpenSSL, который оставался незамеченным в течение двух десятилетий. Этот баг, получивший название CVE-2024-9143, связан с «выходом за границы памяти», вызывал сбои программы, а в редких случаях запускал вредоносный код.

 Источник изображения: AI-генерация

Источник изображения: AI-генерация

Для поиска уязвимостей и автоматизации процесса разработчики Google применили метод «фаззинг-тестирование» (fuzz testing), при котором в код загружаются случайные данные для выявления возможных сбоев. В блоге компании отмечается, что подход заключался в использовании возможностей больших языковых моделей (LLM) для генерации большего количества целей фаззинга.

Как выяснилось, LLM оказались «высокоэффективными в эмуляции всего рабочего процесса типичного разработчика по написанию, тестированию и сортировке обнаруженных сбоев». В результате искусственный интеллект был применён для тестирования 272 программных проектов, где и были обнаружены 26 уязвимостей, включая «древний» баг в OpenSSL.

По словам исследователей, причина, по которой баг оставался незамеченным 20 лет, заключается в сложности тестирования отдельных сценариев кода, а также из-за того, что данный код считался уже тщательно протестированным и, соответственно не привлекал к себе большого внимания. «Тесты не способны измерять все возможные пути выполнения программы. Разные настройки, флаги и конфигурации могут активировать и разное поведение, которое выявляют новые уязвимости», — пояснили специалисты. К счастью, ошибка имеет низкий уровень опасности из-за минимального риска эксплуатации процесса.

Ранее разработчики вручную писали код для фаззинг-тестов, но теперь Google планирует научить ИИ не только находить уязвимости, но и автоматически предлагать исправления, минимизируя участие человека. «Наша цель — достичь уровня, при котором мы будем уверены в возможности обходиться без ручной проверки», — заявили в компании.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Arm будет добиваться повторного разбирательства нарушений лицензий компанией Qualcomm 2 ч.
Японцы предложили отводить тепло от чипов на материнских платах большими медными заклёпками 3 ч.
Поставки гарнитур VR/MR достигнут почти 10 млн в 2024 году, но Apple Vision Pro занимает лишь 5 % рынка 4 ч.
Первая частная космическая станция появится на два года раньше, но летать на неё будет нельзя 5 ч.
В США выпущены федеральные нормы для автомобилей без руля и педалей 6 ч.
Для невыпущенного суперчипа Tachyum Prodigy выпустили 1600-страничное руководство по оптимизации производительности 7 ч.
Зонд NASA «Паркер» пошёл на рекордное сближение с Солнцем 8 ч.
Qualcomm выиграла в судебном разбирательстве с Arm — нарушений лицензий не было 12 ч.
Американских субсидий на сумму $6,75 млрд удостоятся Samsung, Texas Instruments и Amkor 13 ч.
Apple начала снимать с продажи iPhone SE, iPhone 14 и iPhone 14 Plus в Европе 21 ч.