Connect with us

Hi, what are you looking for?

Интресное и непознанное

ИИ помог Google выявить 26 уязвимостей в открытом ПО, включая двадцатилетнюю

ИИ помог Google выявить 26 уязвимостей в открытом ПО, включая двадцатилетнюю

Google с помощью искусственного интеллекта выявила 26 новых уязвимостей в проектах с открытым исходным кодом (Open Source), включая баг в OpenSSL, который оставался незамеченным в течение двух десятилетий. Этот баг, получивший название CVE-2024-9143, связан с «выходом за границы памяти», вызывал сбои программы, а в редких случаях запускал вредоносный код.

ИИ помог Google выявить 26 уязвимостей в открытом ПО, включая двадцатилетнюю

Для поиска уязвимостей и автоматизации процесса разработчики Google применили метод «фаззинг-тестирование» (fuzz testing), при котором в код загружаются случайные данные для выявления возможных сбоев. В блоге компании отмечается, что подход заключался в использовании возможностей больших языковых моделей (LLM) для генерации большего количества целей фаззинга.

Как выяснилось, LLM оказались «высокоэффективными в эмуляции всего рабочего процесса типичного разработчика по написанию, тестированию и сортировке обнаруженных сбоев». В результате искусственный интеллект был применён для тестирования 272 программных проектов, где и были обнаружены 26 уязвимостей, включая «древний» баг в OpenSSL.

По словам исследователей, причина, по которой баг оставался незамеченным 20 лет, заключается в сложности тестирования отдельных сценариев кода, а также из-за того, что данный код считался уже тщательно протестированным и, соответственно не привлекал к себе большого внимания. «Тесты не способны измерять все возможные пути выполнения программы. Разные настройки, флаги и конфигурации могут активировать и разное поведение, которое выявляют новые уязвимости», — пояснили специалисты. К счастью, ошибка имеет низкий уровень опасности из-за минимального риска эксплуатации процесса.

Ранее разработчики вручную писали код для фаззинг-тестов, но теперь Google планирует научить ИИ не только находить уязвимости, но и автоматически предлагать исправления, минимизируя участие человека. «Наша цель — достичь уровня, при котором мы будем уверены в возможности обходиться без ручной проверки», — заявили в компании.

You May Also Like

Авто-мото

Корпорация Toshiba в сотрудничестве с японским брендом Sojitz и ведущим мировым производителем ниобия, фирмой CBMM, представила в Бразилии электрический автобус-прототип с установленным аккумулятором Toshiba...

Интресное и непознанное

Сегодня я хочу поделиться с вами топ-10 самых популярных и интересных мест для рыбалки на великолепной реке Волге. Итак, хватайте рыболовные снасти и давайте...

Авто-мото

Китайский автомобильный производитель легковых автомобилей Geely представил обновленную модель Coolray, которая получила переработанный дизайн и иной силовой агрегат. Новая версия Geely Coolray получит приставку...

Авто-мото

В настоящее время самыми продаваемыми моделями легковых автомобилей на российском рынке являются кроссоверы. На российском вторичном рынке представлено большое количество моделей легковых автомобилей, которые...