Introduction
Les vulnérabilités logicielles représentent des menaces de sécurité critiques, avec près de 50 000 vulnérabilités signalées en 2025. Les modèles de langage à grande échelle (LLM) montrent des promesses pour la détection automatique des vulnérabilités, mais trois défis clés persistent.
Contexte Technique
FuzzingBrain V2 est un système multi-agents qui répond à ces lacunes grâce à quatre contributions clés : (1) une analyse de vulnérabilité entièrement automatisée basée sur Google's OSS-Fuzz, garantissant que toutes les vulnérabilités signalées sont reproductibles par les outils de fuzzing ; (2) Suspicious Point, une nouvelle abstraction basée sur le contrôle du flux pour une localisation précise des vulnérabilités à la granularité optimale ; (3) une analyse hiérarchique de fonctions basée sur la logique avec un fuzzing à double couche pour améliorer la couverture des fonctions sous contraintes de ressources ; (4) des outils d'analyse statique et dynamique basés sur MCP avec ingénierie de contexte pour améliorer la raisonnement sur les vulnérabilités complexes.
Analyse et Implications
FuzzingBrain V2 a atteint un taux de détection de 90 % (36 vulnérabilités sur 40) sur le jeu de données C/C++ de la compétition AIxCC 2025. Dans des déploiements réels, FuzzingBrain V2 a découvert 29 vulnérabilités zero-day dans 12 projets open-source, toutes confirmées et corrigées par les mainteneurs, avec 2 identifiants CVE attribués.
Perspective
Il est essentiel de surveiller les limites et les prochaines étapes de FuzzingBrain V2, notamment en termes d'amélioration de la précision et de la couverture, ainsi que son intégration avec d'autres outils de sécurité pour renforcer la protection contre les vulnérabilités logicielles.
