Le projet révolutionnaire de Google, OSS-Fuzz, utilise des modèles linguistiques à grande échelle efficaces pour identifier les bugs dans divers dépôts de code. Le service de fuzzing de logiciels open source a jusqu’à présent découvert 26 vulnérabilités, dont un défaut grave dans la bibliothèque OpenSSL, qui est un utilitaire couramment utilisé par les applications réseau pour sécuriser les communications.
Découvert à la mi-septembre, le bug d’OpenSSL – également connu sous le nom de CVE-2024-9143 – a été rectifié en moins d’un mois. Cependant, quelques vulnérabilités identifiées par le service de fuzzing restent non résolues. OSS-Fuzz de Google, un outil alimenté par l’IA qui sonde les logiciels à la recherche de défauts en injectant des données inattendues ou aléatoires, semble avoir révélé des bugs qui passeraient probablement inaperçus avec le fuzzing traditionnel effectué par l’homme. C’est un témoignage de l’évolution de la cybersécurité et de la puissance de l’IA.
L’équipe de sécurité open source de Google a suggéré que cette vulnérabilité existait depuis près de deux décennies, passant sous le radar des cibles de fuzz existantes qui auraient autrement été identifiées par l’effort humain. L’équipe composée de Oliver Chang, Dongge Liu et Jonathan Metzman a déclaré dans leur blog : « D’après ce que nous pouvons dire, cette vulnérabilité a probablement été présente pendant deux décennies et n’aurait pas été découvrable avec des cibles de fuzz existantes écrites par des humains. »
Cette découverte unique nous amène à prendre conscience du rôle crucial que l’IA peut jouer dans la cybersécurité à l’avenir. Étant donné l’existence probable de menaces opérées par l’IA, le déploiement de l’IA devient crucial pour combattre les vulnérabilités de la vie privée qui pourraient autrement rester invisibles. Cela indique un changement de paradigme dans les études de sécurité, soulignant la nécessité d’une utilisation accrue de l’IA pour rester une longueur d’avance sur les acteurs malveillants.
