必要なのはファジング脳だけ：LLMを活用した自動脆弱性検出とパッチ適用システム

要旨

私たちのチーム「All You Need Is A Fuzzing Brain」は、DARPAの人工知能サイバー挑戦（AIxCC）において7つのファイナリストの1つとして選ばれ、最終ラウンドで4位を獲得しました。競技中、私たちは現実世界のオープンソースCおよびJavaプロジェクトにおいて、28のセキュリティ脆弱性（そのうち6つは以前未知のゼロデイ脆弱性を含む）を自律的に発見し、そのうち14を成功裏に修正するサイバー推論システム（CRS）を開発しました。完全なCRSはhttps://github.com/o2lab/afc-crs-all-you-need-is-a-fuzzing-brainでオープンソースとして公開されています。本論文では、私たちのCRSの詳細な技術的説明を提供し、特にLLM（大規模言語モデル）を活用したコンポーネントと戦略に焦点を当てています。AIxCCを基盤として、私たちはさらに、AIxCCデータセットに基づいた脆弱性検出および修正タスクにおける最先端のLLMをベンチマークするための公開リーダーボードを紹介します。このリーダーボードはhttps://o2lab.github.io/FuzzingBrain-Leaderboard/で利用可能です。

English

Our team, All You Need Is A Fuzzing Brain, was one of seven finalists in DARPA's Artificial Intelligence Cyber Challenge (AIxCC), placing fourth in the final round. During the competition, we developed a Cyber Reasoning System (CRS) that autonomously discovered 28 security vulnerabilities - including six previously unknown zero-days - in real-world open-source C and Java projects, and successfully patched 14 of them. The complete CRS is open source at https://github.com/o2lab/afc-crs-all-you-need-is-a-fuzzing-brain. This paper provides a detailed technical description of our CRS, with an emphasis on its LLM-powered components and strategies. Building on AIxCC, we further introduce a public leaderboard for benchmarking state-of-the-art LLMs on vulnerability detection and patching tasks, derived from the AIxCC dataset. The leaderboard is available at https://o2lab.github.io/FuzzingBrain-Leaderboard/.

必要なのはファジング脳だけ：LLMを活用した自動脆弱性検出とパッチ適用システム

All You Need Is A Fuzzing Brain: An LLM-Powered System for Automated Vulnerability Detection and Patching

要旨

Support