Google, yapay zeka destekli bulanıklaştırma aracı OSS-Fuzz’ın, aralarında OpenSSL şifreleme kütüphanesindeki orta önemdeki bir kusurun da bulunduğu çeşitli açık kaynak kod depolarındaki 26 güvenlik açığını tespit etmeye yardımcı olmak için kullanıldığını açıkladı.
Google’ın açık kaynaklı güvenlik ekibi, “Bu belirli güvenlik açıkları, otomatik güvenlik açığı bulma konusunda bir kilometre taşını temsil ediyor: her biri yapay zeka tarafından oluşturulan ve geliştirilmiş bulanık hedefler kullanılarak yapay zeka ile bulundu.” söz konusu The Hacker News ile paylaşılan bir blog yazısında.
Söz konusu OpenSSL güvenlik açığı CVE-2024-9143 (CVSS puanı: 4,3), uygulamanın çökmesine veya uzaktan kod yürütülmesine neden olabilecek, sınırların dışında bir bellek yazma hatası. Sorun şuydu: adreslenmiş OpenSSL sürüm 3.3.3, 3.2.4, 3.1.8, 3.0.16, 1.1.1zb ve 1.0.2zl’de.
özelliğini ekleyen Google kaldıraç Ağustos 2023’te OSS-Fuzz’da bulanıklaştırma kapsamını iyileştirmek için büyük dil modelleri (LLM’ler), güvenlik açığının kod tabanında muhtemelen yirmi yıldır mevcut olduğunu ve “insanlar tarafından yazılan mevcut bulanıklaştırma hedefleriyle keşfedilemeyeceğini” söyledi.
Ayrıca teknoloji devi, yapay zeka kullanımının belirsiz hedefler oluşturmak 272 C/C++ projesinde kod kapsamını iyileştirerek 370.000’den fazla satır yeni kod ekledi.
Google, “Bu tür hataların bu kadar uzun süre keşfedilmeden kalmasının bir nedeni, hat kapsamının bir işlevin hatasız olduğunun garantisi olmamasıdır” dedi. “Bir ölçüm olarak kod kapsamı, olası tüm kod yollarını ve durumlarını ölçemez; farklı bayraklar ve konfigürasyonlar farklı davranışları tetikleyerek farklı hataları ortaya çıkarabilir.”
Yapay zeka destekli bu güvenlik açığı keşifleri, aynı zamanda LLM’lerin bir geliştiricinin bulanık iş akışını taklit etmede usta olduklarını kanıtlamaları ve böylece daha fazla otomasyona izin vermeleri sayesinde mümkün olmaktadır.
Bu gelişme, şirketin bu ayın başlarında Big Sleep adlı LLM tabanlı çerçevesinin, SQLite açık kaynak veritabanı motorunda sıfır gün güvenlik açığının tespitini kolaylaştırdığını açıklamasının ardından geldi.
Buna paralel olarak Google, kendi kod tabanlarını hafıza açısından güvenli diller Rust gibi, aynı zamanda Chrome da dahil olmak üzere mevcut C++ projelerinde, bir kod parçasının amaçlanan sınırların dışındaki belleğe erişmesi mümkün olduğunda ortaya çıkan uzamsal bellek güvenliği açıklarını giderecek mekanizmaları yeniliyor.
Buna göç etmek de dahildir Güvenli Tamponlar ve etkinleştirme güçlendirilmiş libc++ikincisi, önemli miktarda mekansal güvenlik hatasını ortadan kaldırmak için standart C++ veri yapılarına sınır denetimi ekler. Ayrıca, değişikliğin dahil edilmesinin bir sonucu olarak ortaya çıkan genel giderin minimum düzeyde olduğunu (yani ortalama %0,30 performans etkisi) kaydetti.
Google, “Açık kaynak katkıda bulunanlar tarafından yakın zamanda eklenen sağlamlaştırılmış libc++, üretimde sınır dışı erişimler gibi güvenlik açıklarını yakalamak için tasarlanmış bir dizi güvenlik kontrolü sunuyor.” söz konusu. “C++ tamamen bellek açısından güvenli olmayacak olsa da, bu iyileştirmeler riski azaltıyor […]daha güvenilir ve emniyetli bir yazılıma yol açıyor.”