論文の概要: Fuzzing BusyBox: Leveraging LLM and Crash Reuse for Embedded Bug
Unearthing
- arxiv url: http://arxiv.org/abs/2403.03897v1
- Date: Wed, 6 Mar 2024 17:57:03 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-07 14:04:23.165337
- Title: Fuzzing BusyBox: Leveraging LLM and Crash Reuse for Embedded Bug
Unearthing
- Title(参考訳): Fuzzing BusyBox: 組み込みバグにLCMとクラッシュリユースを活用する
- Authors: Asmita, Yaroslav Oliinyk, Michael Scott, Ryan Tsang, Chongzhou Fang,
Houman Homayoun
- Abstract要約: BusyBoxの脆弱性は、はるかに大きな結果をもたらす可能性がある。
この研究は、現実の組み込み製品で古いBusyBoxバージョンが普及していることを明らかにした。
ソフトウェアテストの強化のための2つのテクニックを紹介します。
- 参考スコア(独自算出の注目度): 2.4287247817521096
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: BusyBox, an open-source software bundling over 300 essential Linux commands
into a single executable, is ubiquitous in Linux-based embedded devices.
Vulnerabilities in BusyBox can have far-reaching consequences, affecting a wide
array of devices. This research, driven by the extensive use of BusyBox, delved
into its analysis. The study revealed the prevalence of older BusyBox versions
in real-world embedded products, prompting us to conduct fuzz testing on
BusyBox. Fuzzing, a pivotal software testing method, aims to induce crashes
that are subsequently scrutinized to uncover vulnerabilities. Within this
study, we introduce two techniques to fortify software testing. The first
technique enhances fuzzing by leveraging Large Language Models (LLM) to
generate target-specific initial seeds. Our study showed a substantial increase
in crashes when using LLM-generated initial seeds, highlighting the potential
of LLM to efficiently tackle the typically labor-intensive task of generating
target-specific initial seeds. The second technique involves repurposing
previously acquired crash data from similar fuzzed targets before initiating
fuzzing on a new target. This approach streamlines the time-consuming fuzz
testing process by providing crash data directly to the new target before
commencing fuzzing. We successfully identified crashes in the latest BusyBox
target without conducting traditional fuzzing, emphasizing the effectiveness of
LLM and crash reuse techniques in enhancing software testing and improving
vulnerability detection in embedded systems. Additionally, manual triaging was
performed to identify the nature of crashes in the latest BusyBox.
- Abstract(参考訳): 300以上のLinuxコマンドを単一の実行ファイルにバンドルするオープンソースソフトウェアであるBusyBoxは、Linuxベースの組み込みデバイスでユビキタスである。
BusyBoxの脆弱性は、広範囲のデバイスに影響を及ぼす。
この研究はBusyBoxの広範な利用によって推進され、その分析を掘り下げた。
この研究は、現実の組み込み製品で古いBusyBoxバージョンが普及していることを明らかにし、BusyBoxでファジテストを行うきっかけとなった。
重要なソフトウェアテスト手法であるFuzzingは、その後脆弱性を明らかにするために精査されたクラッシュを誘発することを目的としている。
本研究では,ソフトウェアテストを強化する2つの手法を紹介する。
最初のテクニックは、大きな言語モデル(llm)を利用してターゲット固有の初期種を生成することで、ファジングを強化する。
本研究は, LLM生成初期種子を用いた場合, 衝突が著しく増加し, 目標特異的初期種子の生成という典型的な労働集約的な課題に, LLMが効果的に取り組む可能性を強調した。
2つめのテクニックは、以前取得したクラッシュデータを同じファズドターゲットから再提案し、新しいターゲットにファズリングを開始することである。
このアプローチは、fuzzingを開始する前に、クラッシュデータを新しいターゲットに直接提供することで、時間を要するfuzzテストプロセスを合理化する。
従来のファジィ処理を行なわずに最新のBusyBoxターゲットのクラッシュを識別し,ソフトウェアテストの改善と組込みシステムにおける脆弱性検出の改善にLLMとクラッシュ再利用技術の有効性を強調した。
さらに、最新のBusyBoxにおけるクラッシュの性質を特定するために手動のトリアージが行われた。
関連論文リスト
- Your Fix Is My Exploit: Enabling Comprehensive DL Library API Fuzzing with Large Language Models [49.214291813478695]
AIアプリケーションで広く使用されているディープラーニング(DL)ライブラリは、オーバーフローやバッファフリーエラーなどの脆弱性を含むことが多い。
従来のファジィングはDLライブラリの複雑さとAPIの多様性に悩まされている。
DLライブラリのためのLLM駆動ファジィ手法であるDFUZZを提案する。
論文 参考訳(メタデータ) (2025-01-08T07:07:22Z) - DiffusionAttacker: Diffusion-Driven Prompt Manipulation for LLM Jailbreak [51.8218217407928]
大規模言語モデル (LLM) は、慎重に入力を行うと有害なコンテンツを生成する可能性がある。
本稿では,拡散モデルにインスパイアされたジェイルブレイク書き換えのためのエンドツーエンド生成手法であるDiffusionAttackerを紹介する。
論文 参考訳(メタデータ) (2024-12-23T12:44:54Z) - FuzzDistill: Intelligent Fuzzing Target Selection using Compile-Time Analysis and Machine Learning [0.0]
FuzzDistillは、コンパイル時のデータと機械学習を利用してファジィングターゲットを洗練するアプローチです。
実世界のソフトウェアで実施した実験を通じて,私のアプローチの有効性を実証し,テスト時間の大幅な短縮を実証した。
論文 参考訳(メタデータ) (2024-12-11T04:55:58Z) - CKGFuzzer: LLM-Based Fuzz Driver Generation Enhanced By Code Knowledge Graph [29.490817477791357]
本稿では,コード知識グラフによって駆動され,インテリジェントエージェントシステムによって駆動されるファズテスト手法を提案する。
コードナレッジグラフは、そのグラフの各ノードがコードエンティティを表す、プログラム間解析によって構築される。
CKGFuzzerは最先端技術と比較してコードカバレッジが平均8.73%向上した。
論文 参考訳(メタデータ) (2024-11-18T12:41:16Z) - Pipe-Cleaner: Flexible Fuzzing Using Security Policies [0.07499722271664144]
Pipe-CleanerはCコードの脆弱性を検出し解析するシステムである。
これは、タグベースのランタイムリファレンスモニターによって強制されるフレキシブルな開発者設計のセキュリティポリシーに基づいている。
いくつかのヒープ関連のセキュリティ脆弱性に対して、このアプローチの可能性を実証する。
論文 参考訳(メタデータ) (2024-10-31T23:35:22Z) - FuzzCoder: Byte-level Fuzzing Test via Large Language Model [46.18191648883695]
我々は,攻撃を成功させることで,入力ファイルのパターンを学習するために,微調整された大言語モデル(FuzzCoder)を採用することを提案する。
FuzzCoderは、プログラムの異常な動作を引き起こすために、入力ファイル内の突然変異位置と戦略位置を予測することができる。
論文 参考訳(メタデータ) (2024-09-03T14:40:31Z) - FuzzTheREST: An Intelligent Automated Black-box RESTful API Fuzzer [0.0]
この作業では、脆弱性検出にReinforcement Learning(RL)を使用しているファジィテストツールのブラックボックスAPIを導入している。
このツールは6つのユニークな脆弱性を発見し、55%のコードカバレッジを達成した。
論文 参考訳(メタデータ) (2024-07-19T14:43:35Z) - Jailbreaking Large Language Models Through Alignment Vulnerabilities in Out-of-Distribution Settings [57.136748215262884]
本稿では,ObscurePrompt for jailbreaking LLMを紹介し,OOD(Out-of-Distribution)データにおける脆弱なアライメントに着想を得た。
まず、脱獄過程における決定境界を定式化し、次にLLMの倫理的決定境界に不明瞭な文章がどう影響するかを考察する。
本手法は,2つの防御機構に対する有効性を保ちながら,攻撃効果の観点から従来の手法を大幅に改善する。
論文 参考訳(メタデータ) (2024-06-19T16:09:58Z) - Are you still on track!? Catching LLM Task Drift with Activations [55.75645403965326]
タスクドリフトは攻撃者がデータを流出させたり、LLMの出力に影響を与えたりすることを可能にする。
そこで, 簡易線形分類器は, 分布外テストセット上で, ほぼ完全なLOC AUCでドリフトを検出することができることを示す。
このアプローチは、プロンプトインジェクション、ジェイルブレイク、悪意のある指示など、目に見えないタスクドメインに対して驚くほどうまく一般化する。
論文 参考訳(メタデータ) (2024-06-02T16:53:21Z) - Revisiting Neural Program Smoothing for Fuzzing [8.861172379630899]
本稿では,標準グレーボックスファザに対するNPSファザの最も広範囲な評価について述べる。
我々はNuzz++を実装し、NPSファジィの実用的限界に対処することで性能が向上することを示す。
MLベースファジィの簡易かつ再現可能な評価のためのGPUアクセスプラットフォームであるMLFuzzを提案する。
論文 参考訳(メタデータ) (2023-09-28T17:17:11Z) - Adversarial EXEmples: A Survey and Experimental Evaluation of Practical
Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。
我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。
これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
論文 参考訳(メタデータ) (2020-08-17T07:16:57Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。