Hasty Briefsbeta

双语

AI Meets Cryptography 1: What AI Found in Cloudflare's Circl

5 days ago
  • #cryptography vulnerabilities
  • #AI security auditing
  • #open source security
  • zkSecurity 开发了 zkao,这是一个 AI 审计代理,旨在持续查找代码中的漏洞,直到不存在 AI 可检测的漏洞为止。
  • 对 Cloudflare 的 CIRCL 库的审计发现了七个真实漏洞,包括阈值 RSA 和基于属性的加密中的关键问题,现已全部修复。
  • 发现的漏洞包括:float64 精度损失、DLEQ 伪造、BLS 缺少消息可区分性、通过签名碰撞破坏 DLEQ 正确性、HPKE PSK 旁路、Lagrange 系数中的 int64 溢出,以及 CP-ABE 访问控制破坏。
  • AI 的严重性评级通常与已确认的严重性不一致,突显了由于未知下游使用影响评估带来的挑战。
  • 模型性能各异;起初 Claude Opus 4.6 发现了大部分漏洞,但更新模型(如 GPT-5.4)的出现使角色发生逆转,这强调了采用模型无关方法的重要性。
  • AI 倾向于收集多个问题但未能将它们串联成漏洞利用,这是 zkao 旨在通过改进流程来解决的差距。
  • 团队强调人在回路验证,以确保报告可信并避免 AI 生成垃圾信息,同时持续改进自动分类流程。