กูเกิลแสดงผลการทดลองใช้ปัญญาประดิษฐ์ในกลุ่ม Large Language Model (LLM) มาเขียนโค้ดยิงไลบรารีต่างๆ ภายใต้โครงการ OSS-Fuzz เพื่อหาช่องโหว่ซอฟต์แวร์
การทดสอบแบบ fuzzing ช่วยให้พบช่องโหว่แบบที่คนคิดไม่ถึงโดยเฉพาะช่องโหว่หน่วยความจำ ด้วยการอาศัยการยิงอินพุตแบบสุ่ม อย่างไรก็ดีโค้ดที่ใช้ทดสอบนั้นต้องเขียนด้วยมือทำให้ชุดทดสอบต่างๆ มักครอบคลุมโค้ดที่ต้องการทดสอบไม่มากนัก โดยเฉลี่ยครอบคลุมเพียง 30% เท่านั้น
ทีมงานกูเกิลเขียน prompt ให้ LLM ของกูเกิลเองเขียนโค้ดสำหรับทดสอบ หากโค้ดรันไม่ผ่านก็สามารถอ่าน error แล้วแก้ไขโค้ดใหม่ไปได้ ข้อดีสำคัญคือโค้ดที่ได้จะทดสอบส่วนต่างๆ ของโครงการโอเพนซอร์สได้เพิ่มเติม ทำให้ความครอบคลุมโดยรวมดีขึ้น
ตอนนี้โครงการยังอยู่ระหว่างการทดลอง คาดว่าจะรวมฟีเจอร์นี้เข้าไปในโครงการ OSS-Fuzz ในอนาคต หากมีความพร้อมก็อาจจะไม่ต้องใช้คนเขียนชุดทดสอบเริ่มต้นอีกเลย
ที่มา - Google Security Blog
Topics:
Google
Security
Artificial Intelligence
LLM
Programming
อ่านต่อ...
การทดสอบแบบ fuzzing ช่วยให้พบช่องโหว่แบบที่คนคิดไม่ถึงโดยเฉพาะช่องโหว่หน่วยความจำ ด้วยการอาศัยการยิงอินพุตแบบสุ่ม อย่างไรก็ดีโค้ดที่ใช้ทดสอบนั้นต้องเขียนด้วยมือทำให้ชุดทดสอบต่างๆ มักครอบคลุมโค้ดที่ต้องการทดสอบไม่มากนัก โดยเฉลี่ยครอบคลุมเพียง 30% เท่านั้น
ทีมงานกูเกิลเขียน prompt ให้ LLM ของกูเกิลเองเขียนโค้ดสำหรับทดสอบ หากโค้ดรันไม่ผ่านก็สามารถอ่าน error แล้วแก้ไขโค้ดใหม่ไปได้ ข้อดีสำคัญคือโค้ดที่ได้จะทดสอบส่วนต่างๆ ของโครงการโอเพนซอร์สได้เพิ่มเติม ทำให้ความครอบคลุมโดยรวมดีขึ้น
ตอนนี้โครงการยังอยู่ระหว่างการทดลอง คาดว่าจะรวมฟีเจอร์นี้เข้าไปในโครงการ OSS-Fuzz ในอนาคต หากมีความพร้อมก็อาจจะไม่ต้องใช้คนเขียนชุดทดสอบเริ่มต้นอีกเลย
ที่มา - Google Security Blog
Topics:
Security
Artificial Intelligence
LLM
Programming
อ่านต่อ...
