谷歌开源人工智能辅助模糊测试框架

为了帮助开发人员和研究人员更快地发现漏洞，谷歌发布了开源的人工智能辅助模糊测试框架。

该工具利用大型语言模型 (LLM) 为现实世界的 C 和 C++ 项目生成模糊目标，并使用 Google 的 OSS-Fuzz 服务对其进行基准测试，该服务长期以来一直是自动发现开源软件中漏洞的顶级资源。

为了实现手动模糊测试某些方面的自动化，这家互联网巨头于 2023 年 8 月开始使用法学硕士“编写特定于项目的代码以提高模糊测试覆盖率并发现更多漏洞”，这使得 300 多个 OSS 的代码覆盖率提高了 30% -模糊 C/C++ 项目。

谷歌表示：“到目前为止，LLM 生成的改进所提供的扩展模糊测试覆盖范围使 OSS-Fuzz 能够发现 cJSON 和 libplist 中的两个新漏洞，这两个广泛使用的项目已经被模糊测试多年了。”

该开源工具包括对 Vertex AI code-bison、Vertex AI code-bison-32k、Gemini Pro、OpenAI GPT-3.5-turbo 和 OpenAI GPT-4 的支持。

此外，谷歌表示，该工具使用四个指标，根据生产环境中的最新数据来评估生成的模糊目标，即可编译性、运行时崩溃、运行时覆盖率和运行时行覆盖率与 OSS-Fuzz 中现有人工编写的模糊目标的差异。。

“总体而言，该框架成功地利用 LLM 为 160 个 C/C++ 项目生成有效的模糊目标（从而产生非零覆盖率增加）。与现有的人工编写目标相比，最大行覆盖率增加了 29%。”谷歌指出。

该开源框架允许研究人员和开发人员根据自己的提示进行实验，以测试生成的模糊目标的有效性，并根据 OSS-Fuzz C/C++ 项目衡量结果。

除了通过模糊测试来发现漏洞之外，Google 还在寻找使用 LLM 进行漏洞修补的方法，并且已经提出了一个为 LLM 生成和测试修复程序构建自动化管道的项目。

“这种人工智能驱动的修补方法解决了 15% 的目标错误，为工程师节省了大量时间。这项技术的潜力应该适用于整个软件开发过程中的大多数或所有类别，”谷歌表示。

原文始发于微信公众号（河南等级保护测评）：谷歌开源人工智能辅助模糊测试框架