首页 > 业界 > 关键词  > 谷歌最新资讯  > 正文

谷歌利用 AI 发现 20 年前的软件漏洞:「模糊测试」改写安全游戏规则

2024-11-23 08:08 · 稿源:站长之家

站长之家(ChinaZ.com) 11 月 23 日消息:谷歌近日通过 AI 程序发现了一个隐藏了二十年的开源软件漏洞。谷歌在周三的一篇博客文章中表示,借助类似 ChatGPT 的 AI 工具,公司共识别出了 26 个漏洞,其中包括一个在 OpenSSL 中潜伏了二十年的漏洞。

谷歌,google

这些漏洞是通过一种称为「模糊测试」(fuzz testing)的方法发现的。模糊测试通过向软件程序输入随机数据以查看其是否会崩溃,从而诊断潜在问题。去年,谷歌开始利用大型语言模型(LLM)来编写模糊测试代码,将以往需要人类手动进行的测试工作转移给 AI。

「我们的方法是利用 LLM 的编程能力生成更多模糊测试目标,从而提高测试效率,」谷歌开源安全团队在博客中写道。「LLM 在模拟典型开发者的完整工作流程方面表现出卓越的能力,包括编写、测试和迭代模糊测试目标,以及分类分析发现的崩溃问题。」

自推出以来,谷歌已在 272 个软件项目中应用了这一 AI 工具,发现了 26 个漏洞。其中一个名为 CVE-2024-9143 的漏洞涉及 OpenSSL,这是一种广泛用于互联网连接加密和服务器认证的工具。据研究人员称,这一漏洞可能已存在二十年,用传统的由人类编写的模糊测试代码是无法发现的。

该漏洞的核心问题在于「越界内存访问」,即程序试图访问超出允许范围的内存,这可能导致程序崩溃,甚至在极少数情况下执行恶意代码。尽管如此,由于发生危险操作的风险极小,该漏洞的严重性被评估为低。

谷歌推测,这一漏洞未被发现的原因在于相关代码被视为已通过充分测试。「代码覆盖率作为衡量标准,无法涵盖所有可能的代码路径和状态——不同的标志和配置可能触发不同行为,进而揭示不同漏洞,」研究人员指出。「这表明即使是已经过模糊测试的代码,也需要不断生成新的测试目标。」

展望未来,谷歌开源安全团队正致力于让 LLM 能够为发现的漏洞自动生成修复补丁。另一个目标是实现「无需人工审核」的漏洞报告流程。「这将有助于自动向项目维护人员报告新漏洞,」团队表示。

这一努力还与谷歌的另一个 AI 项目「Big Sleep」相结合,该项目同样利用 LLM 模拟人类安全研究人员的工作流程以发现漏洞。本月早些时候,谷歌宣布,Big Sleep 已成功发现 SQLite(一种开源数据库引擎)中一个此前未知且可利用的漏洞。

举报

  • 相关推荐
  • 时空壶AI同传VS人工同传:AI改写行业规则

    同传行业是否会被AI颠覆?首个“人机大战”AI翻译交流会在中国传媒大学举行,主办方科技媒体《差评》邀请北京高校顶尖同传专业的学生组成“人工翻译队”,与时空壶W4ProAI同传耳机代表的“AI智能队”展开正面对决,首次全面检验了当前AI技术在翻译领域的“实战”能力。在千行百业与AI共舞的时刻,同传行业的更迭故事也在被技术重塑。

  • 嫦娥五号玄武岩新发现20亿年前月球存在弱磁场

    快科技1月5日消息,据报道,中国科学院地质与地球物理研究所对获批的9颗毫米级玄武岩岩屑样品开展了详细的磁学分析,相关结果为认识月球发电机中晚期演化历史提供了关键约束。研究结果显示,月球直至约20亿年前,仍维持着一个相对微弱的发电机活动,其产生的磁场强度大约在2至4微特斯拉(T)之间。这一发现意味着,在遥远的20亿年前,月球内部依旧保持着一定程度的热对流或热传导活动。驱动这些内部动态的能量可能源自多种机制,包括内核的结晶过程、月球进动效应,以及钛铁矿堆晶的下沉等。尤为引人注目的是,这一活力依旧的月球内部环境

  • 2024 年 12 月头号恶意软件:基于 AI 的勒索软件团伙 FunkSec 风头渐起

    CheckPoint软件技术公司的最新威胁指数报告揭示了基于AI的勒索软件团伙FunkSec风头渐起,FakeUpdates和AgentTesla威胁持续存在,网络犯罪手段在不断演进。2025年1月–网络安全解决方案先驱者和全球领导者CheckPoint®软件技术有限公司发布了其2024年12月《全球威胁指数》报告,强调网络犯罪分子不断进行技术迭代。该团队由100多名分析师和研究人员组成,能够与其他安全厂商、执法机关及各个计算机安全应急响应组展开合作。

  • 2025,“鱿鱼游戏”闯入AI赛道

    在AI“鱿鱼游戏”中,DC·AI生态创新中心梳理了一条有效的突围路径“鱿鱼游戏”一词随着同名剧集的火爆持续走红,在全球范围掀起了广泛热议。这种无限生存流的游戏模式,既残酷又现实,像极了商业市场的搏杀与淘汰。亚马逊云科技re:Invent2024大会、CES2025、神州数码DC·AI生态创新中心这些在不同领军企业主导下的峰会、平台对于行业言有着非凡的意义,他们代表的不仅是A

  • 中国卫星立功!人类首次发现125亿年前的太古宇宙软X射线

    我国天关”卫星观测到一例产生于约125亿光年之外的伽马暴EP240315a,这是人类首次探测到宇宙早期爆发现象的软X射线信号。相关成果论文已经在国际学术期刊《自然天文》在线发表。国内外多位专家表示,天关”卫星对于EP240315a的观测成果,丰富了人类对宇宙早期伽马暴的认识,更为探索宇宙起源与演化之谜提供了全新的视角和研究方向。

  • 体验了罗永浩的AI应用,我发现这就是一个大锅乱炖的AI助理?

    传闻中的罗永浩的「AI软件项目」终于上线了。就在刚刚过去的周末,罗永浩「最后一次创业」从AR转型AI后推出了第一款产品——J1AssistantAI助手,现已上线Android平台的Beta版本,官网显示首批支持机型仅限三星Galaxy以及谷歌Pixel的最新三代机型,包括APP仅支持英文无中文,都证明了这次推出的J1Assistant瞄准海外非国内市场。」现在来看,J1Assistant毫无疑问就是老罗「最后一次创�

  • 2024年AI编程有多强?谷歌工程主管揭秘残酷真相

    2024年的AI编程到底什么实力?近日,谷歌的工程主管AddyOsmani,为我们揭示了AI辅助编码在一线开发中的真实情况。2024年,AI编程已然渗透了各行各业,影响着软件的整个生命周期。未来的AI不是取代开发人员是成为一个越来越有能力的协作者,既可以采取主动,又能尊重人类的指导和专业知识。

  • 新婚夫妻20年前曾在幼儿园同框:不在一个班 也不是同一届

    在广东的一场婚礼上,新郎郑先生和新娘播放了一段他们小时候在幼儿园表演婚礼的录像,让在场的所有人都感到惊讶和感动。这段录像记录了21年前的幼儿园活动中,两个小孩子扮演“新郎新娘”的场景。这个故事不仅展示了命运的奇妙安排,也提醒人们珍惜每一个可能改变未来的小小瞬间。

  • 微软大力收拢AI人才:AI软件工程师平均年薪277万元

    据报道,微软正在积极评估和收拢AI领域人才,并通过股票或现金奖励来留住他们。微软发言人表示,公司内部不存在统一的特殊股票和现金奖励申请表格是允许各个团队根据自身的战略重点和需求,灵活地制定措施以更好地留住AI领域的人才。AI软件工程师的平均年薪达到了惊人的377,611美元,进一步印证了微软在吸引和保留AI精英方面所投入的不菲成本与决心。

  • 西藏地震有人不当利用AI生成灾害场景 抖音:严格处罚!

    快科技1月10日消息,西藏日喀则市定日县发生地震后,灾情牵动着全国人民的心,然而,在这令人揪心的特殊时刻,少数别有用心之人却妄图利用AI技术制造谣言,博取关注。今日,抖音安全中心发布于治理灾害期间不当使用AI生成内容”的公告。公告称,近期西藏自治区发生地震灾害,全网出现多起不当利用AI技术生成灾害场景的情况,给救灾工作带来了干扰,平台已严肃处�