AI技術を使ってPythonコード内のゼロデイ脆弱性を特定する無料のオープンソースツール「Vulnhuntr」がProtect AIの研究者によりリリースされました。
このツールは、GitHubで利用可能で、コードの詳細な分析と発見された脆弱性に対する証明コンセプトのエクスプロイト、そして各欠陥に対する信頼度を提供します。Vulnhuntrは、一度に全ファイルを読み込むことによる大規模言語モデルのコンテキストウィンドウのサイズを圧倒させる代わりに、コードベースを小さなチャンクに分割することで分析を行います。
また、AIによるアプリケーションの全コールチェーンを分析するために、詳細で特定の脆弱性を対象としたプロンプトを用いるテクニックを使用しています。これにより、単にリスクのあるコードを見つけるだけでなく、プロジェクト全体との相互作用を調査します。その結果、偽陽性や偽陰性の減少につながると研究チームは述べています。
現在、Vulnhuntrは遠隔から悪用可能な脆弱性、つまり任意のファイル上書きやローカルファイルインクルージョン、サーバサイドリクエスト偽造などに焦点を当てています。すでに多数のゼロデイ脆弱性をGitHub上の人気Pythonプロジェクトで発見しており、その中には重要な機械学習ライブラリの脆弱性も含まれていて、既に修正されています。
出典 : Open Source LLM Tool Sniffs Out Python Zero-Days https://www.darkreading.com/application-security/open-source-llm-tool-finds-python-zero-days