L’AI potenzia la sicurezza del software con OSS-Fuzz | Llm cosa sono | Llm italia | Llm nlp | Turtles AI

L’AI potenzia la sicurezza del software con OSS-Fuzz
Google rileva vulnerabilità critiche nel codice grazie all’uso di modelli linguistici avanzati, superando i limiti del fuzzing tradizionale
Isabella V

 

 Google ha potenziato il proprio progetto OSS-Fuzz con l’AI per migliorare la sicurezza del software. L’introduzione di modelli linguistici avanzati ha permesso di scoprire vulnerabilità difficilmente rilevabili tramite il tradizionale fuzzing umano, con risultati significativi come il bug critico in OpenSSL.

Punti chiave:

  •  OSS-Fuzz utilizza AI per scoprire vulnerabilità nel codice.  
  •  Un bug critico in OpenSSL, presente da 20 anni, è stato trovato tramite fuzzing AI.  
  •  LLM migliora la copertura del fuzzing, testando più codice rispetto ai metodi tradizionali.  
  •  Google punta a un’automazione completa del processo di ricerca e correzione delle vulnerabilità.

Google, con il suo progetto OSS-Fuzz, sta trasformando la ricerca di bug nel software sfruttando il potenziale dell’AI, in particolare con l’impiego di modelli linguistici avanzati (LLM). OSS-Fuzz è un’iniziativa che, utilizzando tecniche di fuzzing, identifica vulnerabilità nei repository di codice open source. Con l’integrazione dell’AI, questo strumento ha compiuto passi significativi nel miglioramento della sicurezza software, scovando vulnerabilità che altrimenti sarebbero passate inosservate con i metodi tradizionali, gestiti da sviluppatori umani. Una delle scoperte più rilevanti di OSS-Fuzz è stato un bug critico nella popolare libreria OpenSSL, il cui difetto era probabilmente presente da due decenni e che sarebbe rimasto invisibile agli strumenti di fuzzing classici, quelli sviluppati dagli esseri umani. Questo bug, identificato come CVE-2024-9143, è stato reso noto a metà settembre e risolto dopo un mese, ma ha posto in evidenza il potenziale dell’AI nel rilevare errori di lunga data che potrebbero sfuggire alla supervisione umana. Oltre a questo, il team di Google ha citato anche un altro esempio: un difetto nel progetto cJSON che è stato trovato grazie all’ausilio dell’AI ma che non era stato rilevato dai test di fuzzing convenzionali. Questo dimostra l’efficacia dell’AI nell’ampliare la capacità di copertura dei test di sicurezza, consentendo di analizzare porzioni di codice molto più ampie rispetto agli approcci tradizionali. OSS-Fuzz ha introdotto l’uso dell’AI nell’agosto 2023, con l’obiettivo di perfezionare la fase di fuzzing, che in sostanza consiste nell’inserire dati casuali e inaspettati nel software per rilevare eventuali crash o malfunzionamenti. Inizialmente, l’iniziativa si concentrava sulla stesura di target di fuzzing e sulla gestione dei problemi di compilazione. Tuttavia, l’integrazione dell’AI ha fatto fare un passo in avanti sostanziale: i modelli linguistici ora sono in grado di gestire l’intero flusso di lavoro del fuzzing, inclusi la generazione di test, l’esecuzione dei target, la gestione degli errori di runtime e la classificazione dei fallimenti. L’obiettivo finale, come affermato dal team di sicurezza di Google, è quello di automatizzare completamente il processo di ricerca di vulnerabilità, consentendo anche la generazione automatica di patch per correggere i difetti riscontrati. Recentemente, altre iniziative basate su AI, come Vulnhuntr di Protect AI, hanno contribuito a identificare vulnerabilità zero-day nei progetti Python, confermando l’efficacia di questi strumenti nell’affrontare le sfide della sicurezza informatica. Con l’introduzione dell’open source nel 2024, OSS-Fuzz si è ulteriormente evoluto, aumentando le sue capacità di analisi e permettendo a ricercatori e sviluppatori di migliorare la sicurezza del codice attraverso l’AI.

In un panorama sempre più complesso di minacce informatiche, l’evoluzione degli strumenti di fuzzing aiuterà a identificare vulnerabilità difficilmente visibili in modo tradizionale, rappresentando una svolta nella sicurezza del software.