All You Need Is A Fuzzing Brain: Ein LLM-gestütztes System zur automatisierten Erkennung und Behebung von Sicherheitslücken

Unser Team, All You Need Is A Fuzzing Brain, war einer von sieben Finalisten im Artificial Intelligence Cyber Challenge (AIxCC) von DARPA und belegte den vierten Platz in der Endrunde. Während des Wettbewerbs entwickelten wir ein Cyber Reasoning System (CRS), das autonom 28 Sicherheitslücken – darunter sechs bisher unbekannte Zero-Day-Schwachstellen – in realen Open-Source-Projekten in C und Java entdeckte und 14 davon erfolgreich patchte. Das vollständige CRS ist Open Source und unter https://github.com/o2lab/afc-crs-all-you-need-is-a-fuzzing-brain verfügbar. Dieses Papier bietet eine detaillierte technische Beschreibung unseres CRS, mit einem besonderen Schwerpunkt auf den LLM-gestützten Komponenten und Strategien. Aufbauend auf dem AIxCC führen wir zudem ein öffentliches Leaderboard ein, das den Benchmarking-Zustand der neuesten LLMs bei der Erkennung und Behebung von Schwachstellen anhand des AIxCC-Datensatzes misst. Das Leaderboard ist unter https://o2lab.github.io/FuzzingBrain-Leaderboard/ verfügbar.