グーグル、人工知能（AI）支援ファジーテストフレームワークをオープンソース化

序文

近年ではサイバーセキュリティ脆弱性は頻繁に発生し、個人や企業に莫大な損失をもたらしている。開発者や研究者がより早く脆弱性を発見できるよう、グーグルはその脆弱性をオープンソース化した。AIアシストファジーテストフレームワークこのフレームワークは、Large Language Model (LLM)を使用して、実際のCおよびC++プロジェクトのファジーテストケースを生成し、オープンソースソフトウェアの脆弱性を自動発見するための主要なリソースとして長い間利用されてきたGoogleのOSS-Fuzzサービスを使用してベンチマークを行う。

AIを活用したファズテストで脆弱性発見効率が大幅に向上

手動ファズテストの一部を自動化するために、グーグルは2023年8月にLLMを使い始め、「ファズテストのカバレッジを向上させ、より多くの脆弱性を発見するために、プロジェクト固有のコードを書く」ようにした。その結果、300以上のOSS-Fuzz C/C++プロジェクトのコードカバレッジが30%増加した。

グーグルは次のように述べている。"これまでのところ、OSS-Fuzzは、LLMによって生成された改善によって提供されたファズ・テスト・カバレッジの拡張によって、cJSONとlibplistの2つの新しい脆弱性を発見することができました。""この2つのプロジェクトは、何年もファズ・テストが行われており、広く使われています。"

オープンソースのフレームワークは幅広いアプリケーションを提供する

このオープンソースツールは、Vertex AI code-bison、Vertex AI code-bison-32k、Gemini Pro、OpenAI GPT-3.5-turbo、OpenAI GPT-4をサポートしている。ターゲットは、OSS-Fuzzの既存の手動で記述されたファジーテストターゲットとのコンパイル可能性、ランタイムクラッシュ、ランタイムカバレッジ、ランタイムラインカバレッジの違いを含む。

全体として、このフレームワークは、160のC/C++プロジェクトに対して、LLMを使用して効果的なファジーテストターゲットを生成することに成功した。最大行のカバレッジ増加は、既存の手作業で書かれたターゲットよりも291 TP3T高かった。"

オープンソースのフレームワークにより、研究者や開発者は、独自のプロンプトを使用して生成されたファジィテスト目標の妥当性をテストし、OSS-Fuzz C/C++プロジェクトに対する結果を測定することができます。

脆弱性の発見以上に、AIが脆弱性の修復を促進する

グーグルは、脆弱性発見のためのファジング・テストに加えて、LLMを脆弱性パッチにどのように利用できるかも検討しており、LLMの生成と修正プログラムのテストのための自動化パイプラインを構築するプロジェクトを提案している。

グーグルは、「このAI主導のパッチ適用手法により、15%の標的型脆弱性が解決され、エンジニアは大幅に時間を節約できる。この手法の可能性は、ソフトウェア開発プロセスのほとんど、あるいはすべてのカテゴリーに適用できるはずだ。"

OSS-Fuzz、伝統的なファジーテストツール。

OSS-Fuzzは、オープンソースソフトウェアプロジェクトの開発プロセスへのファジーテストの統合を自動化する継続的インテグレーション／継続的デリバリー（CI/CD）パイプラインである。様々なファジーテストエンジンとメモリエラー検出ツールを利用し、セキュリティ脆弱性と安定性の問題を発見する。

2023年8月現在、OSS-Fuzzは1,000のプロジェクトにおいて、10,000を超える脆弱性と36,000を超えるバグの特定と修正に貢献している。

概要と参考文献

GoogleのオープンソースAI支援ファジングフレームワークは、ソフトウェア開発セキュリティ分野における大きな革新であり、OSS-Fuzzはファジングテストの最新の進歩を象徴し、オープンソースソフトウェアのセキュリティを向上させる強力なツールを提供します。これは、既存のファジング手法の効率を向上させるだけでなく、自動生成されたファズターゲットを通じて、脆弱性の発見と修復プロセスを加速させます。これは、既存のファジング手法の効率を向上させるだけでなく、自動生成されたファズターゲットを通じて、脆弱性の発見と修復処理を加速させる。ソフトウェア開発プロセスにおけるAI技術の応用が深化を続ける中、AI技術の継続的な発展により、ファジーテストはよりスマートで効率的になり、より安全なサイバー空間の構築に貢献すると信じる理由がある。

プロジェクト：https://github.com/google/oss-fuzz