Сегодня 29 марта 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

ИИ помог Google выявить 26 уязвимостей в открытом ПО, включая двадцатилетнюю

Google с помощью искусственного интеллекта выявила 26 новых уязвимостей в проектах с открытым исходным кодом (Open Source), включая баг в OpenSSL, который оставался незамеченным в течение двух десятилетий. Этот баг, получивший название CVE-2024-9143, связан с «выходом за границы памяти», вызывал сбои программы, а в редких случаях запускал вредоносный код.

 Источник изображения: AI-генерация

Источник изображения: AI-генерация

Для поиска уязвимостей и автоматизации процесса разработчики Google применили метод «фаззинг-тестирование» (fuzz testing), при котором в код загружаются случайные данные для выявления возможных сбоев. В блоге компании отмечается, что подход заключался в использовании возможностей больших языковых моделей (LLM) для генерации большего количества целей фаззинга.

Как выяснилось, LLM оказались «высокоэффективными в эмуляции всего рабочего процесса типичного разработчика по написанию, тестированию и сортировке обнаруженных сбоев». В результате искусственный интеллект был применён для тестирования 272 программных проектов, где и были обнаружены 26 уязвимостей, включая «древний» баг в OpenSSL.

По словам исследователей, причина, по которой баг оставался незамеченным 20 лет, заключается в сложности тестирования отдельных сценариев кода, а также из-за того, что данный код считался уже тщательно протестированным и, соответственно не привлекал к себе большого внимания. «Тесты не способны измерять все возможные пути выполнения программы. Разные настройки, флаги и конфигурации могут активировать и разное поведение, которое выявляют новые уязвимости», — пояснили специалисты. К счастью, ошибка имеет низкий уровень опасности из-за минимального риска эксплуатации процесса.

Ранее разработчики вручную писали код для фаззинг-тестов, но теперь Google планирует научить ИИ не только находить уязвимости, но и автоматически предлагать исправления, минимизируя участие человека. «Наша цель — достичь уровня, при котором мы будем уверены в возможности обходиться без ручной проверки», — заявили в компании.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Представлен формат изображений Spectral JPEG XL, который эффективно сохранит данные даже о невидимом свете 29 мин.
Google выплатит $100 млн по иску рекламодателей 14-летней давности 6 ч.
ИИ-стартап xAI Илона Маска внезапно поглотил соцсеть X Илона Маска 8 ч.
Новая статья: Selaco — неоновый кураж. Предварительный обзор 14 ч.
«Яндекс» впервые отчиталась о результатах работы Yandex B2B Tech 14 ч.
Prince of Persia: The Lost Crown выйдет на новых платформах, причём совсем скоро 15 ч.
Сюжетный боевик MindsEye от студии экс-продюсера GTA получил дату выхода и взрывной трейлер — в российском Steam доступен предзаказ 17 ч.
38 миллиардов потерянных рун и 58 тысяч побед над финальным боссом: опубликована статистика игроков с тестирования Elden Ring Nightreign 19 ч.
Тестовая версия Windows 11 получила расширенную поддержку файловой системы ReFS — она сменит NTFS, но потом 19 ч.
Обнаружен вредоносный загрузчик CoffeeLoader — он прячется от антивирусов на видеокарте и прибегает к другим уловкам 20 ч.