根据谷歌威胁分析小组的一份报告,2023 年主要的零日漏洞大幅增加,零日漏洞再次升温,从商业间谍活动到勒索软件攻击,零日漏洞正在从“小众奢侈品”转向“大规模快速商品”。
2024年,零日漏洞+**链式攻击仍将是网络攻击的“最佳搭档”,让全球企业心生畏惧。
面对新的“零日危机”,谷歌近日做出重大决定,宣布其零日漏洞“挖洞神器”——模糊框架oss-fuzz(文末链接)免费提供。 谷歌声称,此举是为了帮助开发人员和研究人员更容易地发现软件漏洞。
模糊测试的智能化和自动化
模糊测试是一种通过将意外数据输入软件以模拟恶意攻击来发现潜在漏洞的技术。
行业专家普遍认为,模糊测试是一种强大的软件安全工具,它不仅可以识别常见的低严重性漏洞,还可以识别缓冲区溢出等高风险问题。 Synopsys Software Integrity Group 高级安全产品经理 John McShane 表示:“模糊测试已经存在了几十年,并且随着其在发现未知和零日漏洞方面的成功而越来越受欢迎。 臭名昭著的心脏出血漏洞是由安全工程师使用商业模糊测试产品Defensics发现的。 ”
Cobalt Labs 网络安全服务主管 Gisela Hinojosa 补充道:“模糊测试可以发现许多'低掉落'漏洞,也可以暴露一些高影响的漏洞。 由于模糊测试是自动化的,因此不需要监督,它会自动执行测试,几乎无需担心。 这是一种相对简单易行的查找漏洞的方法。 ”
尽管如此,传统的模糊测试仍然需要大量的手动工作,但借助大型语言模型 (LLM) 的强大功能,Google 的 OSS-Fuzz 可以自动化一些手动流程并显着提高效率。
在一篇博文中,谷歌开源安全团队的一名成员写道:“我们使用大型语言模型编写了特定于项目的**,以提高模糊测试覆盖率并发现更多漏洞。 “通过提高OSS-Fuzz大型语言模型的测试覆盖率,团队成员成功发现了两个以前未知的CJSON和libplist漏洞,这些漏洞已经模糊了很长时间,但以前没有被发现。 他们强调:
如果没有生成的大型语言模型,这两个漏洞可能永远不会被发现和修复。
模糊测试不能替代安全设计原则
大西洋理事会(Atlantic Council)高级研究员、Rust**会议顾问Shane Miller警告说:“投资动态测试工具(如模糊测试)并不能替代安全设计原则,例如选择内存安全编程语言。 尽管如此,模糊测试仍然是提高软件安全性的强大工具。 ”
模糊测试通过使用意想不到的输入来探索软件行为,从而扩大了测试范围,揭示了类似于最近针对美国水处理厂、电网、石油和天然气管道和交通枢纽等关键基础设施的国家支持的网络攻击中利用的漏洞,“米勒补充道。
虽然模糊测试对开发人员是有益的,但手动模糊测试一直是开源项目维护者有效模糊测试的障碍。 谷歌希望通过免费提供oss-fuzz来解决这个问题。 Michael J.,Dark Sky Technology Software Chain Security 首席执行官“由于开源项目维护者通常是志愿者,资金有限,因此花费时间和金钱运行资源密集型工具并不总是可行的,”Mehlberg说。 ”
Mehlberg补充说,传统的模糊测试工具也存在不容忽视的问题:
“例如,模糊测试工具还会使原本简单的开发环境复杂化,产生大量误报,给已经紧张的团队增加审查和分析,甚至可能由于缺乏网络安全技能或经验而无法采取行动。 ”
AI 驱动的漏洞修补
Google 为开发者和研究人员提供了使用大型语言模型开发自动化补丁管道的指南。 “这种人工智能驱动的修补方法解决了15%的目标漏洞,为工程师节省了大量时间,”谷歌安全团队成员在博客中写道。 ”
然而,Hinojosa 指出,使用大型语言模型自动打补丁的挑战在于,大型语言模型需要具备所有必要的上下文知识,以便在不破坏系统的情况下有效地进行修补修复。 “我认为让自动化系统提出修复建议,然后在实施之前让人工手动审查它更安全。 ”
普渡大学计算机科学助理教授D**e (Jing) Tian补充道:“打补丁工作中最关键的问题不是自动化,而是安全性。 事实证明,很难证明补丁只做它应该做的事情,不多也不少。 因此,目前只有少数补丁可以自动注入,这些补丁都是简单的补丁,例如将变量的 32 位整数更改为 64 位整数。 对于更复杂的补丁,我们仍然需要安全专家来审查 AI 补丁。 ”
结论
Google 免费开放的 OSS-Fuzz 模糊测试框架是使用 AI 提高软件安全性(工具)的重要一步。 虽然模糊测试和 AI 驱动的补丁已显示出巨大的潜力,但人工监督对于确保安全仍然至关重要。 通过将新一代智能模糊测试工具与安全设计实践相结合,开发人员可以显著提高其软件的安全性和弹性。
参考链接: