生成式人工智能(GenAI)和AI代理通过独特的代码分析、推理和自动化能力,正在帮助开发人员节省时间并发掘以往被忽视的漏洞。AI代理,如和,已经能够自主发现流行开源项目的安全漏洞,而则使研究人员在覆盖更多领域的同时,消除了繁琐且耗时的人工步骤。
“随着这些方法的不断演进,它们将对软件开发人员和安全研究人员的工作流程产生重大影响,”Code Intelligence的联合创始人兼首席产品官Khaled Yakdan对SC Media表示。
谷歌的Big Sleep AI代理是由Project Zero与ProjectDeepMind团队合作开发的,展示了AI驱动的漏洞发现可能为安全研究人员带来的好处。该项目的愿景是通过自动化某些任务,节省研究人员的大量时间和手工工作,ProjectZero开玩笑说这将使他们“能更频繁地打盹”。
目前,模糊测试工具和静态与动态应用安全测试(SAST/DAST)工具已经被用于加速漏洞研究而提升效率,而AI代理的独特推理能力和对其他工具的整合能力则使其比传统自动化更进一步。
“传统的安全测试工具遵循预定义的启发式规则和算法,而AI代理则利用现代的LLM智能,理解、生成和智能地适应测试用例。”Yakdan解释道。
“当AI代理融入传统的漏洞测试工具时,它们能够提升漏洞检测能力,简化分类和调试过程,并加速设置过程。”
例如,Spark代理通过利用LLM智能自动生成高质量的模糊测试,使模糊测试过程更快更高效,通常这是一个耗时的手动过程。根据CodeIntelligence的说法,当对一个包含100,000行代码的代码库进行测试时,Spark可以节省多达1,000小时的手动努力。
“此外,Spark会反复完善这些测试以实现全面的代码覆盖,从而实现更高效和可扩展的安全测试方法,”Yakdan补充道。
时间节省并不是LLM增强漏洞测试的唯一潜在好处——谷歌指出,像BigSleep这样AI代理的推理能力有可能揭示传统模糊测试中长期未发现的漏洞,这是因为某些项目的模糊测试工具存在局限性。
AI增强的模糊测试也可以增加代码覆盖率。在引入LLM能力后,谷歌的OSS-Fuzz系统新增了超过370,000行的代码覆盖,涵盖272个C/C++项目。
此外,从自动化传统手工任务中获得的时间,可以使安全专业人员更加专注于战略分析和研究新攻击向量等高级工作。
“开发人员将获得更可靠的漏洞报告,甚至有时会获得建议的修复方案,从而简化修复过程,减少手工调试的负担,”Yakdan说。
“而安全研究人员将从执行重复的漏洞发现任务转向引导和调整AI代理,设定研究目标,并验证复杂的发现。”
AI工具已经在发现新漏洞方面证明了自己的价值,CodeIntelligence的Spark在2024年10月的测试中,流行开源库wolfSSL中的堆基用户后释放漏洞。
“这个发现不需要任何手动干预——
Leave a Reply