A New Breed of Analysers
7 months ago
- #security
- #AI
- #curl
- curl是一个庞大的项目,拥有18万行C89代码,规模堪比《战争与和平》。
- 该项目历史悠久,始于1996年,支持28种URL方案、100多种操作系统和近30种CPU架构。
- 已发布270多个版本,记录了超过12,500个错误修复,并有来自1,400多位贡献者的提交。
- Google Big Sleep和ZeroPath等AI工具发现了curl中的安全漏洞,标志着问题检测方式的转变。
- 研究人员使用AI工具提交了大量高质量错误报告,促成了多项修复。
- AI工具无需构建即可扫描所有源代码,因此能发现罕见测试路径中的问题。
- 发现的问题包括函数文档错误、协议不兼容和内存泄漏等。
- AI在代码分析中的应用被视为进化而非革命,但也引发了关于代码使用的伦理问题。
- curl曾参与DEF CON 33的AIxCC竞赛,AI工具在比赛中搜寻漏洞。
- 未来计划将AI分析工具集成到CI配置中,但当前GitHub Copilot等工具尚未达标。