Google、OSS向けファジングサービス「OSS-Fuzz」をLLMで改善：コードカバレッジの向上に成功

Googleは、同社の大規模言語モデルを利用して、オープンソースソフトウェア向けファジングサービス「OSS-Fuzz」の対象プロジェクトのコードカバレッジを高めることに成功した。

» 2023年08月23日 08時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　Googleは2023年8月16日（米国時間）、同社の大規模言語モデル（LLM）を利用して、オープンソースソフトウェア（OSS）向けファジングサービス「OSS-Fuzz」の対象プロジェクトのコードカバレッジ（網羅率）を高めることに成功したと発表した。

　ファジングは、ソースコードを直接解析するのではなく、極端に長い文字列や不正な形式の値など、さまざまな入力データを与えてコードを実行し、予期せぬ動作やクラッシュを意図的に引き起こすテスト手法を指す。

　OSS-Fuzzは、オープンソースプロジェクト向けにファジングツール（ファザー）を実行し、検出されたバグを非公開で開発者に知らせる無償サービスだ。2016年から運営されており、現在では1000以上のオープンソースプロジェクトを継続的なファジングでサポートしている。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

不正データを与えてOSSの脆弱性をあぶり出す「ファジング」とは？　Googleが事例発表
GoogleはOSS向けファジングサービス「OSS-Fuzz」の事例を発表した。「TinyGLTF」プロジェクトの重大な脆弱性を発見できた。これまで以上に広範な脆弱性を発見する能力がファジングツールにあるのだという。
Google Cloud、生成系AI利用のセキュリティプラットフォーム「Security AI Workbench」を発表
Googleは「Google Cloud Security AI Workbench」を発表した。セキュリティに特化した大規模言語モデル（LLM）である「Sec-PaLM」をベースにした業界初の拡張可能なセキュリティプラットフォームとうたっている。
メモリに繰り返しアクセスするだけで権限のないメモリ内容を変更可能、Googleが攻撃手法を発見
DRAMが持っていたハードウェアの脆弱性を悪用する「ローハンマー」というサイバー攻撃は、2014年に見つかった古い手法だ。既に対策が講じられているものの、2021年にGoogleが発見した「ハーフダブル」攻撃にはまだ対策が見つかっていない。