Tudo o que Você Precisa é um Cérebro de Fuzzing: Um Sistema Alimentado por LLM para Detecção e Correção Automática de Vulnerabilidades
All You Need Is A Fuzzing Brain: An LLM-Powered System for Automated Vulnerability Detection and Patching
September 8, 2025
Autores: Ze Sheng, Qingxiao Xu, Jianwei Huang, Matthew Woodcock, Heqing Huang, Alastair F. Donaldson, Guofei Gu, Jeff Huang
cs.AI
Resumo
Nossa equipe, All You Need Is A Fuzzing Brain, foi uma das sete finalistas do Desafio de Cibersegurança com Inteligência Artificial (AIxCC) da DARPA, ficando em quarto lugar na rodada final. Durante a competição, desenvolvemos um Sistema de Raciocínio Cibernético (CRS) que descobriu de forma autônoma 28 vulnerabilidades de segurança - incluindo seis zero-days previamente desconhecidas - em projetos de código aberto em C e Java do mundo real, e corrigiu com sucesso 14 delas. O CRS completo é de código aberto em https://github.com/o2lab/afc-crs-all-you-need-is-a-fuzzing-brain. Este artigo fornece uma descrição técnica detalhada do nosso CRS, com ênfase em seus componentes e estratégias alimentados por LLM. Baseando-se no AIxCC, introduzimos ainda um quadro de líderes público para avaliar os LLMs de última geração em tarefas de detecção e correção de vulnerabilidades, derivadas do conjunto de dados do AIxCC. O quadro de líderes está disponível em https://o2lab.github.io/FuzzingBrain-Leaderboard/.
English
Our team, All You Need Is A Fuzzing Brain, was one of seven finalists in
DARPA's Artificial Intelligence Cyber Challenge (AIxCC), placing fourth in the
final round. During the competition, we developed a Cyber Reasoning System
(CRS) that autonomously discovered 28 security vulnerabilities - including six
previously unknown zero-days - in real-world open-source C and Java projects,
and successfully patched 14 of them. The complete CRS is open source at
https://github.com/o2lab/afc-crs-all-you-need-is-a-fuzzing-brain. This paper
provides a detailed technical description of our CRS, with an emphasis on its
LLM-powered components and strategies. Building on AIxCC, we further introduce
a public leaderboard for benchmarking state-of-the-art LLMs on vulnerability
detection and patching tasks, derived from the AIxCC dataset. The leaderboard
is available at https://o2lab.github.io/FuzzingBrain-Leaderboard/.