- ‘Fuzzing’は、ソフトウェアテスト手法であり、プログラムに無効な、予期しない、またはランダムなデータを供給してコーディングエラーやセキュリティの脆弱性を検出する。
- 2023年8月に、GoogleはAIパワード・Fuzzingを導入し、大規模言語モデル(LLM)を使用してFuzzingのカバレッジを向上させ、悪意のある攻撃者がそれらを悪用する前により多くの脆弱性を自動的に発見する。
- GoogleのOSS-Fuzzチームは最近、26件の新しい脆弱性をオープンソースプロジェクトのメンテナーに報告し、その中にはインターネットインフラの多くを支える重要なOpenSSLライブラリの1つの脆弱性(CVE-2024-9143)も含まれていた。
- チームはAI生成および拡張されたFuzzターゲットを使用してこれらの脆弱性を検出し、自動脆弱性検出のための画期的な成果を示した。
- Googleの最終目標は、LLMが発見した脆弱性に対する提案修正パッチを生成し、フル自動化されたワークフローを実現することである。
自動生成されたコンテキストのプロンプトでより関連性の高い情報を自動生成することと、LLMが開発者のワークフローを効果的にエミュレートできることが、チームが取り組んだ2つの主要な進展です。これにより、Fuzzingワークフローの自動化が進み、より高品質かつ正確なFuzzターゲットが生成される。
GoogleのセキュリティブログでFuzzingワークフローの詳細な説明を読むことができます。
元記事: https://betanews.com/2024/11/21/google-calls-the-ai-fuzz-to-find-vulnerabilities/