Всё, что вам нужно, — это мозг для фаззинга: система на основе LLM для автоматического обнаружения и исправления уязвимостей
All You Need Is A Fuzzing Brain: An LLM-Powered System for Automated Vulnerability Detection and Patching
September 8, 2025
Авторы: Ze Sheng, Qingxiao Xu, Jianwei Huang, Matthew Woodcock, Heqing Huang, Alastair F. Donaldson, Guofei Gu, Jeff Huang
cs.AI
Аннотация
Наша команда, All You Need Is A Fuzzing Brain, стала одним из семи финалистов в конкурсе DARPA Artificial Intelligence Cyber Challenge (AIxCC), заняв четвертое место в финальном раунде. В ходе соревнования мы разработали Систему Киберрассуждений (Cyber Reasoning System, CRS), которая автономно обнаружила 28 уязвимостей безопасности, включая шесть ранее неизвестных уязвимостей нулевого дня, в реальных проектах с открытым исходным кодом на языках C и Java, а также успешно исправила 14 из них. Полная версия CRS доступна в открытом доступе по адресу https://github.com/o2lab/afc-crs-all-you-need-is-a-fuzzing-brain. В данной статье представлено подробное техническое описание нашей CRS с акцентом на компоненты и стратегии, основанные на использовании крупных языковых моделей (LLM). На основе опыта, полученного в AIxCC, мы также представляем публичный рейтинг для оценки современных LLM в задачах обнаружения и исправления уязвимостей, созданный на основе данных AIxCC. Рейтинг доступен по адресу https://o2lab.github.io/FuzzingBrain-Leaderboard/.
English
Our team, All You Need Is A Fuzzing Brain, was one of seven finalists in
DARPA's Artificial Intelligence Cyber Challenge (AIxCC), placing fourth in the
final round. During the competition, we developed a Cyber Reasoning System
(CRS) that autonomously discovered 28 security vulnerabilities - including six
previously unknown zero-days - in real-world open-source C and Java projects,
and successfully patched 14 of them. The complete CRS is open source at
https://github.com/o2lab/afc-crs-all-you-need-is-a-fuzzing-brain. This paper
provides a detailed technical description of our CRS, with an emphasis on its
LLM-powered components and strategies. Building on AIxCC, we further introduce
a public leaderboard for benchmarking state-of-the-art LLMs on vulnerability
detection and patching tasks, derived from the AIxCC dataset. The leaderboard
is available at https://o2lab.github.io/FuzzingBrain-Leaderboard/.