Google ha scoperto 26 vulnerabilità in diversi progetti open source utilizzando il suo strumento di fuzzing potenziato dall’intelligenza artificiale, OSS-Fuzz. Tra queste c’è una falla di gravità media nella libreria OpenSSL, fondamentale per l’infrastruttura di Internet, che potrebbe consentire l’esecuzione di codice remoto.
Questa scoperta rappresenta un importante traguardo per l’individuazione automatizzata di bug tramite intelligenza artificiale. Google ha spiegato in un post sul blog che “queste particolari vulnerabilità rappresentano una pietra miliare per il rilevamento automatizzato di vulnerabilità: ognuna è stata trovata con l’IA, utilizzando obiettivi di fuzzing generati e migliorati dall’IA”.
La vulnerabilità in OpenSSL, tracciata come CVE-2024-9143, ha un punteggio di gravità di 4.3 ed è descritta come un bug di scrittura della memoria fuori dai limiti che può causare il crash di un’applicazione o consentire attacchi malware con esecuzione di codice remoto. OpenSSL è stato aggiornato a nuove versioni per risolvere il problema.
Google ha sottolineato che la vulnerabilità era probabilmente presente da 20 anni e non sarebbe stata rilevabile con gli obiettivi di fuzzing esistenti scritti dagli umani. La scoperta è stata possibile grazie a due importanti miglioramenti:
- La capacità di generare automaticamente contesti più rilevanti nei prompt, riducendo le “allucinazioni” dell’IA
- La capacità dell’IA di emulare l’intero flusso di lavoro di uno sviluppatore, inclusi scrittura, test e iterazione degli obiettivi di fuzzing
Questi progressi hanno permesso di automatizzare ulteriormente il processo di fuzzing, portando a obiettivi di maggiore qualità e in numero maggiore. La scoperta dimostra il potenziale dell’intelligenza artificiale nell’individuare vulnerabilità di sicurezza critiche in modo più efficace rispetto ai metodi tradizionali.