Todo lo que necesitas es un cerebro de fuzzing: Un sistema impulsado por LLM para la detección y corrección automática de vulnerabilidades.
All You Need Is A Fuzzing Brain: An LLM-Powered System for Automated Vulnerability Detection and Patching
September 8, 2025
Autores: Ze Sheng, Qingxiao Xu, Jianwei Huang, Matthew Woodcock, Heqing Huang, Alastair F. Donaldson, Guofei Gu, Jeff Huang
cs.AI
Resumen
Nuestro equipo, All You Need Is A Fuzzing Brain, fue uno de los siete finalistas en el Desafío de Ciberseguridad con Inteligencia Artificial (AIxCC) de DARPA, obteniendo el cuarto lugar en la ronda final. Durante la competencia, desarrollamos un Sistema de Razonamiento Cibernético (CRS, por sus siglas en inglés) que descubrió de manera autónoma 28 vulnerabilidades de seguridad —incluyendo seis zero-days previamente desconocidos— en proyectos de código abierto del mundo real escritos en C y Java, y logró parchear 14 de ellas. El CRS completo es de código abierto y está disponible en https://github.com/o2lab/afc-crs-all-you-need-is-a-fuzzing-brain. Este artículo proporciona una descripción técnica detallada de nuestro CRS, con especial énfasis en sus componentes y estrategias impulsados por LLM (Modelos de Lenguaje de Gran Escala). Basándonos en AIxCC, además presentamos un tablero de clasificación público para evaluar los LLM más avanzados en tareas de detección y parcheo de vulnerabilidades, derivadas del conjunto de datos de AIxCC. El tablero de clasificación está disponible en https://o2lab.github.io/FuzzingBrain-Leaderboard/.
English
Our team, All You Need Is A Fuzzing Brain, was one of seven finalists in
DARPA's Artificial Intelligence Cyber Challenge (AIxCC), placing fourth in the
final round. During the competition, we developed a Cyber Reasoning System
(CRS) that autonomously discovered 28 security vulnerabilities - including six
previously unknown zero-days - in real-world open-source C and Java projects,
and successfully patched 14 of them. The complete CRS is open source at
https://github.com/o2lab/afc-crs-all-you-need-is-a-fuzzing-brain. This paper
provides a detailed technical description of our CRS, with an emphasis on its
LLM-powered components and strategies. Building on AIxCC, we further introduce
a public leaderboard for benchmarking state-of-the-art LLMs on vulnerability
detection and patching tasks, derived from the AIxCC dataset. The leaderboard
is available at https://o2lab.github.io/FuzzingBrain-Leaderboard/.