피드로 돌아가기
Dev.toSecurity
원문 읽기
AI 기반 Automated Fuzzing 루프로 오픈소스 제로데이 20건 동시 발굴
Someone dumped 20 zero-days on open source tools with no warning. The fuzzing was run by AI.
AI 요약
Context
C 기반의 Parsing Logic에서 발생하는 Memory Bug는 전통적으로 수작업 기반의 Manual Auditing에 의존함. 이로 인해 취약점 발견 속도가 매우 느리고 대규모 코드베이스의 전수 조사가 불가능한 한계가 존재함.
Technical Solution
- LLM(GPT-5.5-3-Codex-Spark)과 Strict Harness를 결합한 Automated Fuzzing Workflow 설계
- AI가 후보 Bug 지점을 식별하고 인간이 이를 검증하여 PoC를 작성하는 Human-in-the-loop 구조 채택
- SOTA 모델의 성능보다 정교한 Harness 설계와 인간의 Oversight가 취약점 발견 효율을 결정하는 구조
- LLM을 활용한 Markdown 기반의 취약점 분석 보고서 자동 생성으로 문서화 비용 최소화
- Parsing Code의 특성을 이용해 Integer Wrap 및 Use-After-Free 지점을 정밀 타격하는 AI 분석 루프 구현
실천 포인트
- Untrusted Input을 처리하는 Parser를 Container 또는 seccomp-restricted Process로 Sandbox 처리할 것 - C 기반 Parsing Logic 유지보수 시 Property-based Testing 및 Continuous Fuzzing 도입 검토 - Network Parser 및 Protocol Dissector를 SSH Key 등 민감 정보가 포함된 환경과 분리하여 Trust Boundary 설정