Le nouveau projet de Google basé sur l’IA, OSS-Fuzz, a fait des progrès dans le domaine de la sécurité du code source ouvert, découvrant 26 vulnérabilités dans différents projets logiciels, y compris un bug critique dans la bibliothèque largement utilisée OpenSSL. OSS-Fuzz, une entreprise manifestement alimentée par des modèles avancés de langage large (LLM), a introduit un nouveau niveau de débogage de logiciels avec des résultats prometteurs.
Le projet open source a employé une technique connue sous le nom de ‘fuzzing’ pour rechercher et identifier les anomalies logicielles sous-jacentes. Sa découverte la plus significative jusqu’à présent est un bug (CVE-2024-9143) dans la bibliothèque OpenSSL, signalé à la mi-septembre et corrigé en octobre, soulignant l’efficacité des mesures de sécurité alimentées par l’IA. OpenSSL, compte tenu de son utilisation fréquente et de son importance, a posé un risque sérieux pour la sécurité de nombreux systèmes qui a maintenant été atténué grâce à cette découverte.
Cependant, il est impératif de noter que si OSS-Fuzz a fait un travail exceptionnel pour mettre en évidence de multiples vulnérabilités, toutes n’ont pas été corrigées à ce jour. Cela souligne la nécessité pour les développeurs et les programmeurs de prioriser la résolution de ces problèmes, afin de prévenir les cyberattaques potentielles.
L’équipe d’OSS-Fuzz, composée d’Oliver Chang, Dongge Liu et Jonathan Metzman, a noté le potentiel de leur outil de fuzzing basé sur l’IA, affirmant qu’il a découvert un bug qui était potentiellement non détecté depuis près de deux décennies. Selon eux, ce bug est resté non découvert en raison de sa nature insaisissable que les méthodes de fuzzing conventionnelles employées par les humains ne pouvaient pas localiser.
Cette affirmation met en évidence les capacités suprêmes de l’IA et son potentiel pour avoir des impacts de grande portée dans le domaine de la cybersécurité. L’équipe d’OSS-Fuzz estime que l’adoption de l’IA dans la recherche en sécurité n’est plus une option mais une nécessité, compte tenu de la possibilité de menaces de cybersécurité qui pourraient également utiliser des outils alimentés par l’IA pour trouver et exploiter des vulnérabilités invisibles.
En conclusion, l’avènement de plateformes de sécurité alimentées par l’IA comme OSS-Fuzz présente un argument fort pour une inclusion plus large de l’Intelligence Artificielle dans la cybersécurité. Ces efforts ne renforcent pas seulement les défenses des systèmes, mais mettent également en lumière la présence de vieux bugs non détectés en dépassant les capacités des mesures de sécurité traditionnelles dirigées par l’homme.
