Google ના OSS-Fuzz વિવિધ ઓપન-સોર્સ પ્રોજેક્ટ્સમાં બે ડઝન કરતાં વધુ નબળાઈઓ શોધે છે, તેમાંની OpenSSL માં એક નબળાઈ છે જે RCE માં પરિણમી શકે છે, Google આને સ્વયંસંચાલિત બગ શોધમાં એક મુખ્ય સીમાચિહ્ન તરીકે જુએ છે.
Google ને અલગ-અલગ ઓપન સોર્સ કોડ રિપોઝીટરીઝમાં 26 નબળાઈઓ મળી છે, જેમાં “નિર્ણાયક OpenSSL લાઇબ્રેરી કે જે મોટા ભાગના ઈન્ટરનેટ ઈન્ફ્રાસ્ટ્રક્ચરને અન્ડરપિન કરે છે” માં મધ્યમ-ગંભીરતાની ખામીનો સમાવેશ થાય છે.
આ કોઈ સમાચાર નથી (Google એ વર્ષો દરમિયાન હજારો ભૂલો શોધવામાં મદદ કરી), જો ભૂલો શોધવાની પદ્ધતિ “કૃત્રિમ” ન હોત, કારણ કે તેના AI-સંચાલિત ફઝિંગ ટૂલનો ઉપયોગ કરીને ભૂલો જાહેર કરવામાં આવી હતી, ઓએસએસ-ફઝ.
“આ ચોક્કસ નબળાઈઓ સ્વયંસંચાલિત નબળાઈ શોધવા માટે એક સીમાચિહ્નરૂપ પ્રતિનિધિત્વ કરે છે: દરેક AI સાથે મળી આવી હતી, AI-જનરેટેડ અને ઉન્નત ફઝ લક્ષ્યોનો ઉપયોગ કરીને,” ગૂગલે એક બ્લોગ પોસ્ટમાં સમજાવ્યું.
LLM સાથે મુખ્ય સુધારાઓ
આ 26 ખામીઓમાં CVE-2024-9143 તરીકે ટ્રૅક કરાયેલ એક OpenSSL બગ છે. તેનો ગંભીરતાનો સ્કોર 4.3 છે અને તેને આઉટ-ઓફ-બાઉન્ડ્સ મેમરી રાઇટ બગ તરીકે વર્ણવવામાં આવે છે જે એપ્લિકેશનને ક્રેશ કરી શકે છે અથવા ક્રૂક્સને રિમોટ કોડ એક્ઝિક્યુશન (RCE) મૉલવેર હુમલાઓને માઉન્ટ કરવાની મંજૂરી આપી શકે છે. ઓપનએસએસએલને ત્યારથી 3.3.3, 3.2.4, 3.1.8, 3.0.16, 1.1.1zb અને 1.0.2zl આવૃત્તિઓમાં અપગ્રેડ કરવામાં આવ્યું છે, જેથી ખામીને દૂર કરવામાં આવે.
બાબતોને વધુ રસપ્રદ બનાવવા માટે, ગૂગલે જણાવ્યું હતું કે નબળાઈ મોટાભાગે બે દાયકાઓથી હાજર હતી, “અને માનવો દ્વારા લખવામાં આવેલા હાલના ફઝ લક્ષ્યો સાથે તે શોધી શકાયું ન હોત.”
બગ શોધ બે મોટા સુધારાઓના પરિણામે આવી, કંપનીએ આગળ સમજાવ્યું. પ્રથમ એ પ્રોમ્પ્ટ્સમાં આપમેળે વધુ સુસંગત સંદર્ભ જનરેટ કરવાની ક્ષમતા છે, જે એલએલએમને “તેના પ્રતિભાવમાં ખૂટતી વિગતોને ભ્રમિત કરવાની શક્યતા ઓછી બનાવે છે.” બીજું એક લાક્ષણિક વિકાસકર્તાના સંપૂર્ણ વર્કફ્લોનું અનુકરણ કરવાની એલએલએમની ક્ષમતાની આસપાસ ફરે છે, જેમાં ફઝ લક્ષ્ય પર લેખન, પરીક્ષણ અને પુનરાવર્તનનો સમાવેશ થાય છે, તેમજ મળેલા ક્રેશને ટ્રાય કરવા માટે.
“આનો આભાર, ફઝિંગ વર્કફ્લોના વધુ ભાગોને વધુ સ્વચાલિત કરવાનું શક્ય હતું. બદલામાં આ વધારાના પુનરાવર્તિત પ્રતિસાદના પરિણામે ઉચ્ચ ગુણવત્તા અને વધુ સંખ્યામાં સાચા ફઝ લક્ષ્યાંકો પણ પરિણમ્યા.”
વાયા હેકર સમાચાર