реклама
Новости Software

ИИ помог Google выявить 26 уязвимостей в открытом ПО, включая двадцатилетнюю

Google с помощью искусственного интеллекта выявила 26 новых уязвимостей в проектах с открытым исходным кодом (Open Source), включая баг в OpenSSL, который оставался незамеченным в течение двух десятилетий. Этот баг, получивший название CVE-2024-9143, связан с «выходом за границы памяти», вызывал сбои программы, а в редких случаях запускал вредоносный код.

 Источник изображения: AI-генерация

Источник изображения: AI-генерация

Для поиска уязвимостей и автоматизации процесса разработчики Google применили метод «фаззинг-тестирование» (fuzz testing), при котором в код загружаются случайные данные для выявления возможных сбоев. В блоге компании отмечается, что подход заключался в использовании возможностей больших языковых моделей (LLM) для генерации большего количества целей фаззинга.

Как выяснилось, LLM оказались «высокоэффективными в эмуляции всего рабочего процесса типичного разработчика по написанию, тестированию и сортировке обнаруженных сбоев». В результате искусственный интеллект был применён для тестирования 272 программных проектов, где и были обнаружены 26 уязвимостей, включая «древний» баг в OpenSSL.

По словам исследователей, причина, по которой баг оставался незамеченным 20 лет, заключается в сложности тестирования отдельных сценариев кода, а также из-за того, что данный код считался уже тщательно протестированным и, соответственно не привлекал к себе большого внимания. «Тесты не способны измерять все возможные пути выполнения программы. Разные настройки, флаги и конфигурации могут активировать и разное поведение, которое выявляют новые уязвимости», — пояснили специалисты. К счастью, ошибка имеет низкий уровень опасности из-за минимального риска эксплуатации процесса.

Ранее разработчики вручную писали код для фаззинг-тестов, но теперь Google планирует научить ИИ не только находить уязвимости, но и автоматически предлагать исправления, минимизируя участие человека. «Наша цель — достичь уровня, при котором мы будем уверены в возможности обходиться без ручной проверки», — заявили в компании.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Австралия представила беспрецедентный законопроект о полном запрете соцсетей для детей до 16 лет 33 мин.
Биткоин приближается к $100 000 — курс первой криптовалюты установил новый рекорд 2 ч.
В открытых лобби Warhammer 40,000: Space Marine 2 запретят играть с модами, но есть и хорошие новости 2 ч.
Apple попросила суд отклонить антимонопольный иск Минюста США 2 ч.
Битва за Chrome: Google рассказала об ужасных последствиях отчуждения браузера для США и инноваций 2 ч.
ИИ помог Google выявить 26 уязвимостей в открытом ПО, включая двадцатилетнюю 4 ч.
Минюст США потребовал от Google продать Chrome, чтобы разрушить поисковую монополию 4 ч.
Microsoft расширяет Xbox Cloud Gaming для стриминга игр на любых устройствах 5 ч.
«Симулятор загрузки»: Microsoft Flight Simulator 2024 оказалась не готова к взлёту 14 ч.
В Chrome устранили баг, из-за которого на сайтах могла не работать подсветка текста при выделении 14 ч.