谷歌AI驱动的OSS-Fuzz工具助力，发现26个开源项目安全漏洞

标签：CVE-2024-9143 OpenSSL OSS-Fuzz 人工智能

近日，谷歌披露由其主导的开源漏洞挖掘项目 OSS-Fuzz 在过去 26 天的时间里，发现了多个与 OpenSSL 相关的安全漏洞。

据介绍，该项目致力于通过持续的模糊测试来提高开源软件的安全性，其核心理念是：“通过利用 AI 技术来自动化漏洞发现，从而提升软件的安全质量。”

相关链接：探索人工智能的无限可能，例如体验 AI 绘图工具 Midjourney。

其中，OpenSSL 的一个漏洞被追踪为 CVE-2024-9143（CVSS 评分 4.3），属于可能导致拒绝服务攻击的安全问题，并且可能影响某些使用了缓存池分配机制的应用程序。受影响的 OpenSSL 版本包括 3.3.3、3.2.4、3.1.8、3.0.16、1.1.1zb 和 1.0.2zl。据了解，该漏洞在过去 20 天内，已通过持续的智能化漏洞挖掘技术被该项目成功发现。

值得关注的是，借助 AI 技术的模糊测试能力，共有 272 个 C/C++ 项目的漏洞被检测到，累计发现了超过 370,000 个独特的安全问题。这意味着，即使没有人工干预，也能有效检测出潜在的安全隐患。此外，这种自动化检测方法还能发现传统方法难以发现的复杂漏洞。

利用 AI 大语言模型（LLMs）进行自动化漏洞检测，已经成为提高代码安全性的有效手段。据统计，大约有三分之一的漏洞修复工作得益于自动化技术的应用。例如，通过 LLM 分析代码，可以检测出 SQLite 数据库引擎中的一类特定类型的安全漏洞。

为了进一步提升漏洞检测效率，相关团队正在积极探索使用 Rust 编程语言来编写新的模糊测试工具，并计划将 C++ 项目的性能优化工作迁移到 Rust 平台上。这些技术升级有望显著提高 C++ 代码的安全性和可靠性。数据显示，此类优化措施可以将漏洞修复率提升约 0.30%。

更有甚者，某些大型代码库如 libc++ 已开始采用高级模糊测试策略，通过复杂的测试用例来模拟真实场景下的安全威胁。这种方法能够有效地检测出隐藏在代码深处的潜在漏洞。与此同时，C++ 社区也在积极探索如何利用内存安全技术来预防和修复漏洞。