AIGC是近期備受各行業(yè)探討和關(guān)注的新理念。在我們的分享《革新！AIGC融合Fuzzing到底能帶來哪些價(jià)值？》中，我們強(qiáng)調(diào)了將AIGC與Fuzzing相結(jié)合所帶來的價(jià)值。其中之一是AIGC賦能模糊測(cè)試，使測(cè)試用例的生成變得更加智能和精準(zhǔn)。今天，我們將重點(diǎn)分享其底層邏輯方面的內(nèi)容。

1.智能模糊測(cè)試的測(cè)試用例生成

模糊測(cè)試一直以來都是最有效的漏洞挖掘工具，并得到了廣泛應(yīng)用。隨著技術(shù)的不斷演進(jìn)和發(fā)展，模糊測(cè)試技術(shù)正在邁入智能模糊測(cè)試的新時(shí)代。在模糊測(cè)試過程中，測(cè)試用例的生成是一個(gè)尤為重要的環(huán)節(jié)，它直接關(guān)系到后續(xù)漏洞挖掘的效果。通過向被測(cè)試的應(yīng)用程序注入大量的測(cè)試樣例，我們能夠更全面、更深入地挖掘出潛在的安全威脅，而采用動(dòng)態(tài)執(zhí)行的測(cè)試方法則可以保證較低的誤報(bào)率。

如今，AIGC正在改變各行業(yè)的生產(chǎn)模式，云起無垠也在積極研究AIGC與模糊測(cè)試的融合。研究發(fā)現(xiàn)，將AIGC的能力融入到測(cè)試樣例生成過程中，可以進(jìn)一步優(yōu)化測(cè)試樣例的生成過程，極大地提高測(cè)試樣例的質(zhì)量和生成效率。這種新穎的方案增加了對(duì)語義的解析能力，從而能夠更有針對(duì)性地進(jìn)行應(yīng)用程序的安全測(cè)試，使得安全檢測(cè)過程變得更加智能化。

下文我們將著重分析第一代智能模糊測(cè)試與基于AIGC的第二代智能模糊測(cè)試在測(cè)試樣例生成方面的不同之處。

1）第一代智能模糊測(cè)試

我們將未融入AIGC的智能模糊測(cè)試定義為第一代智能模糊測(cè)試，其生成測(cè)試用例的過程、實(shí)際的執(zhí)行流如下：

?首先，第一代智能模糊測(cè)試引擎會(huì)對(duì)應(yīng)用程序的輸入數(shù)據(jù)進(jìn)行分析和采集，然后選出優(yōu)質(zhì)種子。

其次，基于機(jī)器學(xué)習(xí)模型、深度學(xué)習(xí)模型或遺傳算法等，通過變異來生成多樣化的測(cè)試用例。這些變異操作可以包括插入、刪除、替換或改變輸入的各個(gè)部分，例如修改文件頭、改變數(shù)據(jù)格式、交換參數(shù)順序等等。

第三，執(zhí)行測(cè)試用例，并通過監(jiān)測(cè)代碼執(zhí)行路徑、分支覆蓋和函數(shù)調(diào)用等信息，優(yōu)先選擇那些能夠探索未被覆蓋的代碼路徑的變異操作和輸入，然后，收集應(yīng)用程序的反饋信息，包括執(zhí)行結(jié)果、錯(cuò)誤信息、代碼覆蓋率等。

第四，通過監(jiān)測(cè)測(cè)試執(zhí)行的結(jié)果，例如崩潰、異常或錯(cuò)誤信息，獲取關(guān)于潛在問題和漏洞的反饋。這些反饋可以用來調(diào)整變異操作的選擇和生成策略，以生成更有針對(duì)性和質(zhì)量的測(cè)試用例。

最后，隨著智能模糊測(cè)試的進(jìn)行，逐漸優(yōu)化測(cè)試用例的生成策略。通過學(xué)習(xí)測(cè)試結(jié)果和反饋信息，調(diào)整變異操作的權(quán)重、選擇更有效的變異操作，或者發(fā)現(xiàn)新的變異操作。這種自適應(yīng)優(yōu)化可以提高測(cè)試效率和質(zhì)量。

總的來說，利用機(jī)器學(xué)習(xí)和人工智能的技術(shù)，新一代智能模糊測(cè)試可以自動(dòng)化生成大量的測(cè)試用例，并通過不斷的反饋和優(yōu)化，提高測(cè)試用例的質(zhì)量和效率。該過程的核心原理是通過分析應(yīng)用程序的輸入數(shù)據(jù)規(guī)范和限制，生成具有隨機(jī)性和變化性的測(cè)試用例，從而發(fā)現(xiàn)應(yīng)用程序中的漏洞和錯(cuò)誤。

2）基于AIGC的第二代智能模糊測(cè)試

隨著AIGC的不斷應(yīng)用，發(fā)現(xiàn)將其融入智能模糊測(cè)試，能進(jìn)一步優(yōu)化測(cè)試樣例的生成過程，極大提高測(cè)試樣例的質(zhì)量和生成效率。

?基于AIGC的第二代智能模糊測(cè)試在第一代智能模糊測(cè)試的基礎(chǔ)之上，對(duì)于測(cè)試用例的生成則更有優(yōu)勢(shì)：

① 針對(duì)特定的輸入類型生成測(cè)試用例

AIGC可以針對(duì)特定的程序類型（例如二進(jìn)制文件、網(wǎng)絡(luò)協(xié)議、數(shù)據(jù)庫等不同的輸入類型）生成測(cè)試用例。而且，融合AIGC模式的模糊測(cè)試還可以根據(jù)不同程序的數(shù)據(jù)結(jié)構(gòu)和語義特征，自動(dòng)化地生成相應(yīng)的測(cè)試用例，從而更加有效地覆蓋程序的各個(gè)分支和邊界情況。

② 基于未知缺陷的漏洞生成測(cè)試用例

AIGC可以通過在程序中尋找未知漏洞的缺陷模式，然后生成能夠觸發(fā)這些漏洞的測(cè)試用例，進(jìn)而發(fā)現(xiàn)程序中的漏洞。

③ 減少測(cè)試用例的數(shù)量并提高質(zhì)量

AIGC可以根據(jù)程序的內(nèi)部模型和執(zhí)行路徑，自動(dòng)化地削減不必要的測(cè)試用例，從而減少測(cè)試用例的數(shù)量、提高質(zhì)量，提高測(cè)試的效率和準(zhǔn)確性。

而且，基于AIGC的第二代智能模糊測(cè)試基于缺陷類型和問題代碼片段的漏洞成因分析，可以針對(duì)性的給出修復(fù)建議。

2.AIGC融入模糊測(cè)試后的好處

相對(duì)傳統(tǒng)模糊測(cè)試測(cè)試用例隨機(jī)生成和隨機(jī)變異等特點(diǎn)，將AIGC融入模糊測(cè)試可以為軟件測(cè)試和安全測(cè)試帶來多種重要的價(jià)值和優(yōu)勢(shì)。AIGC技術(shù)的引入使得模糊測(cè)試更加智能和高效，以下是一些關(guān)鍵方面：

1）更高效的測(cè)試用例生成：傳統(tǒng)的模糊測(cè)試方法通常使用隨機(jī)或半隨機(jī)生成的測(cè)試用例來測(cè)試軟件，這些測(cè)試用例可能不夠充分或者不夠精準(zhǔn)。使用AIGC可以根據(jù)軟件的代碼結(jié)構(gòu)和功能生成更加精準(zhǔn)的測(cè)試用例，提高測(cè)試用例的質(zhì)量和數(shù)量，從而提高測(cè)試的覆蓋率和效率。

2）更高的漏洞發(fā)現(xiàn)率：AIGC可以根據(jù)代碼的結(jié)構(gòu)和功能生成更加復(fù)雜的測(cè)試用例，這些測(cè)試用例可以發(fā)現(xiàn)傳統(tǒng)模糊測(cè)試無法發(fā)現(xiàn)的漏洞，從而提高軟件的安全性。

3）更加智能的測(cè)試腳本編寫：AIGC可以幫助安全人員自動(dòng)生成測(cè)試腳本，節(jié)省了大量的時(shí)間和人力成本，并且避免了人工編寫測(cè)試腳本可能出現(xiàn)的錯(cuò)誤。

4）降低測(cè)試成本：使用AIGC可以減少手動(dòng)測(cè)試的工作量，節(jié)約測(cè)試成本。

5）提高測(cè)試質(zhì)量：使用AIGC可以提高測(cè)試用例的質(zhì)量和數(shù)量，增加測(cè)試的覆蓋率和準(zhǔn)確性，從而提高測(cè)試的質(zhì)量。而且，智能模糊測(cè)試基于缺陷類型和問題代碼片段的漏洞成因分析，可以針對(duì)性的給出修復(fù)建議。

隨著AIGC的不斷迭代和進(jìn)步，以及安全企業(yè)的不斷研究，未來模糊測(cè)試與AIGC的融合大有可為。通過結(jié)合這兩種技術(shù)，未來在軟件的安全檢測(cè)等方面將發(fā)揮更大的效果。在當(dāng)下階段，AIGC賦能模糊測(cè)試的更多內(nèi)容，后面也將一一分享給大家，敬請(qǐng)期待！

為了更好的探索與分享前沿趨勢(shì)和技術(shù)研究?jī)?nèi)容，云起無垠發(fā)起并運(yùn)營了GPTSecurity知識(shí)社區(qū)，致力打造成一個(gè)匯聚GPT、AIGC和LLM在安全領(lǐng)域應(yīng)用的知識(shí)庫，共同推動(dòng)安全領(lǐng)域智能革命的發(fā)展。

歡迎來到 GPTSecurity！共建知識(shí)庫（點(diǎn)擊跳轉(zhuǎn)）

· GPTSecurity是一個(gè)涵蓋了前沿學(xué)術(shù)研究和實(shí)踐經(jīng)驗(yàn)分享的社區(qū)，集成了生成預(yù)訓(xùn)練 Transformer（GPT）、人工智能生成內(nèi)容（AIGC）以及大型語言模型（LLM）等安全領(lǐng)域應(yīng)用的知識(shí)。在這里，您可以找到關(guān)于GPT/AIGC/LLM最新的研究論文、博客文章、實(shí)用的工具和預(yù)設(shè)指令（Prompts）。

· Github地址：https://github.com/mo-xiaoxi/GPTSecurity

云起無垠（https://www.clouitera.com）是新一代智能模糊測(cè)試領(lǐng)跑者，采用新一代Fuzzing技術(shù)全流程賦能軟件供應(yīng)鏈與開發(fā)安全，基于智能模糊測(cè)試引擎為協(xié)議、代碼、數(shù)據(jù)庫、API、Web3.0等應(yīng)用提供強(qiáng)大的軟件安全自動(dòng)化分析能力，從源頭助力企業(yè)自動(dòng)化檢測(cè)并助其修復(fù)業(yè)務(wù)系統(tǒng)安全問題，為每行代碼安全運(yùn)行保駕護(hù)航。文章來源地址http://www.zghlxwxcb.cn/news/detail-495376.html

到了這里，關(guān)于創(chuàng)新！AIGC賦能模糊測(cè)試樣例生成的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！