Новости Уязвимости больше не спрячутся: ИИ стал хладнокровным охотником

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Vulnhuntr обнаруживает эксплойты быстрее, чем хакеры их создают.


nhxysrwcaaarm6sowh2qh64fvsx0afcf.jpg


Новый инструмент Vulnhuntr совершает прорыв в поиске уязвимостей в проектах с открытым исходным кодом. Разработанный компанией Protect AI, он использует мощь больших языковых моделей ( LLM ) для обнаружения сложных многоэтапных уязвимостей, включая удалённые zero-day эксплойты.

Vulnhuntr уже показал впечатляющие результаты, выявив более десятка 0day-уязвимостей за считанные часы работы. Среди проектов, в которых были обнаружены уязвимости, — gpt_academic, ComfyUI, FastChat и Ragflow.

Этот инструмент отличается подходом, при котором код разбивается на небольшие части для анализа, что позволяет избежать перегрузки LLM и существенно снизить количество ложных срабатываний. Vulnhuntr многократно анализирует код, выстраивая полный путь от ввода данных до вывода на сервере и формируя детализированные отчёты с примерами эксплойтов.

Основное внимание уделяется высокорисковым уязвимостям: LFI, AFO, RCE , XSS, SQLi, SSRF и IDOR. Специальные техники, такие как цепочка размышлений и XML-подсказки, направляют LLM на поиск уязвимостей, сужая круг анализа до критически важных функций в коде.

Пока Vulnhuntr поддерживает только Python , но разработчики планируют расширить возможности инструмента для других языков программирования. Несмотря на ограничения, его способности значительно превосходят традиционные статические анализаторы, обеспечивая более точное обнаружение и сокращение ложных срабатываний.

Будущее охоты за уязвимостями видится многообещающим. С развитием LLM их контекстные окна могут достигать миллионов токенов, что позволит минимизировать необходимость в статическом анализе. Однако Vulnhuntr продолжит использовать ручное парсирование кода, чтобы свести к минимуму ошибки при поиске уязвимостей.

Инструмент Для просмотра ссылки Войди или Зарегистрируйся на платформе Huntr, где участники могут использовать Vulnhuntr и получать вознаграждение за помощь в обеспечении безопасности проектов на основе ИИ. Инструмент также Для просмотра ссылки Войди или Зарегистрируйся с GitHub.

Vulnhuntr значительно оптимизирует процесс выявления сложных уязвимостей, делая его более точным и оперативным. Этот инструмент не только улучшает защиту отдельных проектов, но и вносит вклад в обеспечение безопасности всей экосистемы открытого ИИ, поддерживая её развитие и устойчивость перед новыми угрозами.
 
Источник новости
www.securitylab.ru

Похожие темы