首页 - 自媒体资讯 > 谷歌AI突破:20年旧漏洞现形,模糊测试革新网络安全领域

谷歌AI突破:20年旧漏洞现形,模糊测试革新网络安全领域

发布于:2025-01-11 作者:xcadmin 阅读:1 当前页面链接:https://lawala.cn/post/4282.html

谷歌AI突破:20年旧漏洞现形,模糊测试革新网络安全领域,谷歌,google,谷歌,Google,人工智能,AI头条,2,4,3,第1张

让我们将时间回溯至11月23日,谷歌在其官方博客上宣布,借助类似ChatGPT的AI工具,他们成功识别出了26个潜在漏洞,其中包括一个在OpenSSL中潜伏了二十年的严重漏洞,这一消息如同一颗重磅炸弹,在信息安全领域引起了广泛关注。

这些漏洞的发现依赖于一种名为「模糊测试」(fuzz testing)的技术,模糊测试通过向软件输入随机数据,观察其在异常情况下的表现,从而找出潜在的安全问题,去年,谷歌开始尝试利用大型语言模型(LLM)来编写模糊测试代码,以期提高测试效率和覆盖率。

谷歌开源安全团队在博客中详细解释了他们的工作方法:「我们的方法利用LLM的编程能力生成更多模糊测试目标,从而提高测试效率。」LLM在模拟典型开发者的完整工作流程方面表现出卓越的能力,包括编写、测试和迭代模糊测试目标,以及分类分析发现的崩溃问题。

自推出以来,谷歌已在272个软件项目中应用了这一AI工具,发现了26个漏洞,CVE-2024-9143漏洞涉及广泛使用的OpenSSL工具,这是一个用于互联网连接加密和服务器认证的关键组件,研究人员指出,这一漏洞可能已存在二十年,用传统的由人类编写的模糊测试代码是无法发现的。

该漏洞的核心问题在于「越界内存访问」,即程序试图访问超出允许范围的内存,这可能导致程序崩溃,甚至在极少数情况下执行恶意代码,尽管如此,由于发生危险操作的风险极小,该漏洞的严重性被评估为低。

谷歌推测,这一漏洞未被发现的原因在于相关代码被视为已通过充分测试,研究人员指出,「代码覆盖率作为衡量标准,无法涵盖所有可能的代码路径和状态——不同的标志和配置可能触发不同行为,进而揭示不同漏洞。」这表明即使是已经过模糊测试的代码,也需要不断生成新的测试目标。

展望未来,谷歌开源安全团队正致力于让LLM能够为发现的漏洞自动生成修复补丁,另一个目标是实现「无需人工审核」的漏洞报告流程。「这将有助于自动向项目维护人员报告新漏洞,」团队表示。

这一努力还与谷歌的另一个AI项目「Big Sleep」相结合,该项目同样利用LLM模拟人类安全研究人员的工作流程以发现漏洞,本月早些时候,谷歌宣布,Big Sleep已成功发现SQLite(一种开源数据库引擎)中一个此前未知且可利用的漏洞。

这一发现不仅是对现有安全测试方法的一次重大突破,也为未来的软件开发与维护提供了新的思路和方向,随着AI技术的不断发展,我们有理由相信,未来的软件安全将更加坚固,而AI在其中的作用也将越来越重要。

相关阅读:

1、男子9个月坐933次地铁居全市 获赠一辆车,男子9个月乘坐933次地铁成全市之冠 获赠汽车奖励

2、3男子用磁铁作弊抓娃娃构成盗窃:盗取钥匙扣、毛绒玩具数百个,三名男子利用磁铁作弊盗取数百个娃娃,构成盗窃罪

3、手机依赖现象:调查显示八成人醒来10分钟内必刷手机,日均操作205次

4、高通试水三星2nm工艺,台积电报价太高成诱因

5、iPhone SE 4更名16E:2025年苹果手机新篇章

二维码

扫一扫关注我们

版权声明:本文内容由互联网用户自发贡献,本站不拥有所有权,不承担相关法律责任。如果发现本站有涉嫌抄袭的内容,欢迎发送邮件至 dousc@qq.com举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。

当前页面链接:https://lawala.cn/post/4282.html

标签: #谷歌 #Google #人工智能 #AI头条 #2 #4 #3

上一篇:沈向洋宣布推出通用视觉大模型:无需提示即可识别万物

下一篇:黄仁勋巧用NotebookLM:AI如何助推英伟达业绩飞跃?

相关文章

发表评论

网站地图|

客服邮箱:dousc@qq.com

二维码

ZBlog主题

本站部分文字及图片均来自于网络,如有侵权请及时联系删除处理

Copyright © 2019 本站基于Z-BlogPHP程序搭建 粤ICP备2024336214号

自媒体

电话咨询 自定义链接2