Tutto Ciò Di Cui Hai Bisogno È Un Cervello Fuzzing: Un Sistema Basato su LLM per il Rilevamento e la Correzione Automatica delle Vulnerabilità
All You Need Is A Fuzzing Brain: An LLM-Powered System for Automated Vulnerability Detection and Patching
September 8, 2025
Autori: Ze Sheng, Qingxiao Xu, Jianwei Huang, Matthew Woodcock, Heqing Huang, Alastair F. Donaldson, Guofei Gu, Jeff Huang
cs.AI
Abstract
Il nostro team, All You Need Is A Fuzzing Brain, è stato uno dei sette finalisti della Artificial Intelligence Cyber Challenge (AIxCC) di DARPA, classificandosi al quarto posto nel round finale. Durante la competizione, abbiamo sviluppato un Cyber Reasoning System (CRS) che ha scoperto autonomamente 28 vulnerabilità di sicurezza - inclusi sei zero-day precedentemente sconosciuti - in progetti open-source reali scritti in C e Java, e ha corretto con successo 14 di esse. Il CRS completo è open source e disponibile all'indirizzo https://github.com/o2lab/afc-crs-all-you-need-is-a-fuzzing-brain. Questo articolo fornisce una descrizione tecnica dettagliata del nostro CRS, con particolare enfasi sui componenti e sulle strategie alimentate da LLM. Basandoci sull'esperienza di AIxCC, introduciamo inoltre una classifica pubblica per valutare gli LLM più avanzati nelle attività di rilevamento e correzione delle vulnerabilità, derivata dal dataset di AIxCC. La classifica è disponibile all'indirizzo https://o2lab.github.io/FuzzingBrain-Leaderboard/.
English
Our team, All You Need Is A Fuzzing Brain, was one of seven finalists in
DARPA's Artificial Intelligence Cyber Challenge (AIxCC), placing fourth in the
final round. During the competition, we developed a Cyber Reasoning System
(CRS) that autonomously discovered 28 security vulnerabilities - including six
previously unknown zero-days - in real-world open-source C and Java projects,
and successfully patched 14 of them. The complete CRS is open source at
https://github.com/o2lab/afc-crs-all-you-need-is-a-fuzzing-brain. This paper
provides a detailed technical description of our CRS, with an emphasis on its
LLM-powered components and strategies. Building on AIxCC, we further introduce
a public leaderboard for benchmarking state-of-the-art LLMs on vulnerability
detection and patching tasks, derived from the AIxCC dataset. The leaderboard
is available at https://o2lab.github.io/FuzzingBrain-Leaderboard/.