【论文速读】 | AI驱动修复：漏洞自动化修复的未来

原文作者：Jan Nowakowski, Jan Keller

作者单位：Google Security Engineering

关键词：AI, 安全性漏洞, 自动化修复, LLM, sanitizer bugs

原文链接：

https://storage.googleapis.com/gweb-research2023-media/pubtools/pdf/4fd3441fe40bb74e3f94f5203a17399af07b115c.pdf

开源代码：[暂无]

研究背景：随着AI技术的快速发展，其在软件安全领域的应用也越来越广泛。尤其是在自动化发现和修复漏洞方面，AI技术展现出巨大的潜力。

研究贡献：

a. 提出了一个完整的AI驱动漏洞修复流程，包括漏洞发现、复现与隔离、生成修复代码、测试和人工审查等步骤。

b. 成功利用LLMs自动修复了15%的sanitizer漏洞，大大减少了工程师的工作量。

c. 展示了AI技术在提高软件安全性方面的巨大潜力，为未来的自动化安全防御提供了新的思路。

当前，随着AI技术的不断进步，其在软件开发和安全领域的应用也日益增多。特别是在自动化发现和修复软件漏洞方面，AI提供了一种高效且可行的解决方案。Google的安全工程团队利用大语言模型（LLMs），如Gemini模型，建立了一个自动化的漏洞修复流程。这一流程不仅能自动发现和隔离漏洞，还能生成修复代码供人工审查，极大提高了修复效率和速度。

自动化安全漏洞修复技术的研究背景包括了漏洞检测、隔离和修复的整个过程。其中，漏洞检测通常由sanitizers完成，这是一类能在代码运行时检测出各种安全漏洞的工具。随后，通过自动化流程隔离并复现这些漏洞，以便更准确地生成修复代码。最后，修复代码通过自动化测试和人工审查，以确保其正确性和有效性。