Google ha individuato 26 falle in diversi progetti open source. Tali scoperte sono avvenute grazie a OSS-Fuzz. Uno strumento avanzato di fuzzing potenziato dall’intelligenza artificiale. Tra tali vulnerabilità spicca una falla di gravità media nella libreria OpenSSL. Un componente cruciale per l’infrastruttura di Internet. Tale vulnerabilità, catalogata come CVE-2024-9143, ha un punteggio di gravità di 4.3 secondo il sistema CVSS. È stata descritta come un problema di scrittura della memoria fuori dai limiti. Tale difetto potrebbe provocare il crash di applicazioni o, nei casi più gravi, consentire l’esecuzione remota di codice dannoso. Per affrontare il problema, OpenSSL è stato aggiornato con nuove versioni che risolvono la falla.
Google trova nuove falle
Tale scoperta rappresenta un importante traguardo per il rilevamento automatizzato delle vulnerabilità con l’intelligenza artificiale. Google ha sottolineato che tutte le falle scoperte segnano una pietra miliare nel processo di miglioramento per la sicurezza informatica. Alcuni bug, come la vulnerabilità individuata in OpenSSL, sono davvero difficili da individuare. Ciò evidenzia la difficoltà di rilevare bug complessi con i metodi tradizionali basati su obiettivi di fuzzing creati manualmente dagli sviluppatori.
Il risultato è stato possibile grazie a progressi significativi nella tecnologia di OSS-Fuzz. L’intelligenza artificiale che lo alimenta è stata potenziata per generare automaticamente contesti più rilevanti nei prompt di fuzzing. Riducendo così errori e false interpretazioni. Inoltre, riesce ad emulare il flusso di lavoro di uno sviluppatore. Inclusa la scrittura, il test e il miglioramento continuo degli obiettivi di fuzzing. Ciò ha permesso di individuare vulnerabilità in modo più rapido ed efficace. Soprattutto rispetto alle metodologie tradizionali.
La scoperta mette in evidenza il grande potenziale dell’intelligenza artificiale per la sicurezza online. L’adozione di strumenti automatizzati migliora la qualità dei risultati. E non solo. Contribuisce anche a rafforzare la sicurezza dell’intera infrastruttura digitale. Ciò garantisce una protezione più robusta per i sistemi open source e per la rete nel suo complesso.