Ferramenta de fuzzing do Google identifica vulnerabilidades ignoradas por testes humanos

O projeto OSS-Fuzz utiliza LLMs para identificar falhas em repositórios de código, e já ajudou a descobrir 26 vulnerabilidades, incluindo uma falha crítica na popular biblioteca OpenSSL, rastreada como CVE-2024-9143 e corrigida em outubro.

A empresa acredita que seu sistema de fuzzing orientado por IA — que insere dados inesperados ou aleatórios em softwares para identificar erros — encontrou vulnerabilidades que provavelmente não seriam detectadas por métodos tradicionais conduzidos por humanos. Esse resultado reforça a importância de incorporar IA em pesquisas de segurança, especialmente porque agentes maliciosos já estariam utilizando tecnologia similar para criar ataques sofisticados.

Segundo o Google, o modelo de linguagem empregado no OSS-Fuzz consegue realizar as quatro primeiras etapas do processo de fuzzing tradicional, com planos de automatizar também a quinta etapa. O objetivo é permitir que a IA sugira patches para as vulnerabilidades identificadas, completando todo o fluxo de trabalho de forma autônoma.