متن خبر

ابزار شکار ایرادات مبتنی بر هوش مصنوعی گوگل تعداد زیادی نقص امنیتی منبع باز را پیدا می کند

ابزار شکار ایرادات مبتنی بر هوش مصنوعی گوگل تعداد زیادی نقص امنیتی منبع باز را پیدا می کند

شناسهٔ خبر: 817239 -




آموزش هوش مصنوعی
(اعتبار تصویر: Pixabay)

OSS-Fuzz گوگل بیش از دوجین آسیب پذیری را در پروژه های متن باز مختلف پیدا می کند.

در میان آنها یک آسیب پذیری در OpenSSL است که می تواند منجر به RCE شود

گوگل این را به عنوان یک نقطه عطف بزرگ در کشف خودکار باگ می بیند


گوگل ۲۶ آسیب‌پذیری را در مخازن کد منبع باز مختلف پیدا کرده است، از جمله یک نقص با شدت متوسط ​​در «کتابخانه حیاتی OpenSSL که زیربنای بسیاری از زیرساخت‌های اینترنتی است».

اگر روشی که توسط آن عیوب کشف شد، «مصنوعی» نبود، این خبر چندان خبری نبود (گوگل به یافتن هزاران باگ در طول سال‌ها کمک کرد)، زیرا باگ‌ها با استفاده از ابزار fuzzing مبتنی بر هوش مصنوعی آشکار شدند. OSS-Fuzz.

گوگل در یک پست وبلاگ توضیح داد: «این آسیب‌پذیری‌های خاص نقطه عطفی برای یافتن آسیب‌پذیری خودکار است: هر کدام با هوش مصنوعی، با استفاده از اهداف فازی ایجاد شده و تقویت‌شده توسط هوش مصنوعی پیدا شدند».

پیشرفت های عمده با LLM

در میان این 26 نقص، یک باگ OpenSSL است که به عنوان CVE-2024-9143 ردیابی شده است. این دارای امتیاز 4.3 است و به عنوان یک اشکال نوشتن حافظه خارج از محدوده توصیف می شود که می تواند یک برنامه را خراب کند یا به کلاهبرداران اجازه می دهد تا حملات بدافزار اجرای کد از راه دور (RCE) را نصب کنند. OpenSSL از آن زمان به نسخه های 3.3.3، 3.2.4، 3.1.8، 3.0.16، 1.1.1zb و 1.0.2zl ارتقا یافته است تا این نقص برطرف شود.

برای جالب‌تر کردن موضوع، گوگل بيان کرد که این آسیب‌پذیری به احتمال زیاد برای دو دهه وجود داشته است، «و با اهداف فازی موجود که توسط انسان نوشته شده است قابل کشف نبوده است».

این شرکت بیشتر توضیح داد که کشف باگ در نتیجه دو پیشرفت عمده رخ داد. اولین مورد، توانایی ایجاد خودکار زمینه مرتبط‌تر در اعلان‌ها است، که باعث می‌شود LLM «احتمال کمتری برای توهم زدن جزئیات از دست رفته در پاسخ خود داشته باشد». مورد دوم حول توانایی LLM برای تقلید از کل گردش کار یک توسعه دهنده معمولی، از جمله نوشتن، آزمایش، و تکرار بر روی هدف فاز، و همچنین تریاژ خرابی های یافت شده می چرخد.

به لطف این، امکان خودکارسازی بیشتر بخش‌های جریان کار فازی وجود داشت. این بازخورد تکراری اضافی نیز به نوبه خود منجر به کیفیت بالاتر و تعداد بیشتری از اهداف فازی صحیح می شود.

از طریق The Hacker News

شما هم ممکن است دوست داشته باشید

Sead یک روزنامه‌نگار آزاد کارکشته در سارایوو، بوسنی و هرزگوین است. او در مورد IT (ابر، اینترنت اشیا، 5G، VPN) و امنیت سایبری (باج افزار، نقض داده ها، قوانین و مقررات) می نویسد. او در طول بیش از یک دهه فعالیت حرفه ای خود برای رسانه های متعددی از جمله الجزیره بالکان نوشته است. او همچنین چندین ماژول در زمینه نوشتن محتوا برای Represent Communications برگزار کرده است.

خبرکاو

ارسال نظر




تبليغات ايهنا تبليغات ايهنا

تمامی حقوق مادی و معنوی این سایت متعلق به خبرکاو است و استفاده از مطالب با ذکر منبع بلامانع است