Tout ce dont vous avez besoin, c'est d'un cerveau de fuzzing : Un système alimenté par un LLM pour la détection et la correction automatisées des vulnérabilités

Notre équipe, All You Need Is A Fuzzing Brain, a été l'une des sept finalistes du défi Artificial Intelligence Cyber Challenge (AIxCC) de la DARPA, se classant quatrième lors de la finale. Durant la compétition, nous avons développé un Cyber Reasoning System (CRS) qui a découvert de manière autonome 28 vulnérabilités de sécurité - dont six zero-days précédemment inconnues - dans des projets open source réels en C et Java, et en a réussi à corriger 14. Le CRS complet est open source et disponible à l'adresse suivante : https://github.com/o2lab/afc-crs-all-you-need-is-a-fuzzing-brain. Cet article fournit une description technique détaillée de notre CRS, en mettant l'accent sur ses composants et stratégies alimentés par des LLM. En nous appuyant sur l'AIxCC, nous introduisons également un classement public pour évaluer les LLM de pointe sur des tâches de détection et de correction de vulnérabilités, basé sur le jeu de données de l'AIxCC. Le classement est accessible à l'adresse suivante : https://o2lab.github.io/FuzzingBrain-Leaderboard/.