Google oferece acesso gratuito ao framework fuzzing com IA

Da Redação
05/02/2024

O Fuzzing,  técnica de teste de software, frequentemente automatizada ou semiautomatizada, pode ser uma ferramenta valiosa para descobrir vulnerabilidades de dia zero em software. Com o intuito de estimular o seu uso por desenvolvedores e pesquisadores, o Google anunciou na quarta-feira passada, 31 de janeiro, que agora está oferecendo acesso gratuito à sua estrutura OSS-Fuzz.

De acordo com o Google, melhorias tangíveis de segurança podem ser obtidas usando a estrutura para automatizar os aspectos manuais dos testes fuzzing com a ajuda de grandes modelos de linguagem (LLMs). “Usamos LLMs para escrever código específico do projeto para aumentar a cobertura difusa e encontrar mais vulnerabilidades”, escreveram os membros da equipe de segurança de código aberto do Google, Dongge Liu e Oliver Chang, e os membros da equipe de segurança de linguagem de máquina, Jan Nowakowski e Jan Keller, no blog de segurança da empresa.

Até agora, o OSS-Fuzz e sua cobertura expandida de difusão oferecida por melhorias geradas pelo LLM permitiram que o Google descobrisse duas novas vulnerabilidades no cJSON e no libplist, embora ambos os projetos amplamente utilizados já tivessem sido testados há anos. “Sem o código totalmente gerado pelo LLM, essas duas vulnerabilidades poderiam ter permanecido desconhecidas e não corrigidas indefinidamente”, acrescentaram os pesquisadores.

Embora o fuzzing possa ser benéfico para os desenvolvedores, seus aspectos manuais têm sido um impedimento para os mantenedores de código aberto de fazerem o fuzzing de seus projetos de maneira eficaz — um problema que o Google espera resolver oferecendo acesso gratuito à sua estrutura de fuzzing. 

Veja isso
Google alerta sobre exploração de dia zero no navegador Chrome
Google corrige seis bugs em 1ª atualização do Chrome de 2024

O Google também está oferecendo orientação a desenvolvedores e pesquisadores sobre o uso de LLMs para construir um pipeline de correção automática. “Essa abordagem de correção baseada em IA resolveu 15% dos bugs direcionados, levando a uma economia significativa de tempo para os engenheiros”, escreveram os membros da equipe de segurança do Google em seu blog.

Para ter acesso às análises sobre melhorias geradas pelo LLM ao OSS-Fuzz, em inglês, feitas pelos membros da equipe de segurança de código aberto do Google clique aqui.

Compartilhar: