原创 Paper | Fuzz 工作流解析与 AI 引入方案分享

主要观点总结

本文是知道创宇404实验室关于AI在Fuzz工程中的应用分享的议题内容。文章受到Google安全博客的启发，探讨了AI如何帮助改进现有的漏洞挖掘体系。文章主要涵盖了Fuzz工作流的认识、目标设定与切入点讨论、初步引入方案分享以及总结等部分。

关键观点总结

关键观点1: Fuzz工作流简介与AI引入的背景

文章介绍了Fuzz工程的基本概念和工作流程，以及AI在Fuzz测试中的引入背景和意义。

关键观点2: AI在Fuzz工作流中的具体应用和讨论

文章详细讨论了AI在Fuzz工作流中的具体应用，包括信息收集、语料库准备、接口分析、变异算法与插桩方案等，并提到了在不同阶段引入AI的实施需求。

关键观点3: 初步引入AI的Fuzz自动化构建方案分享

文章展示了一个初步引入AI的Fuzz自动化构建示例，包括目标程序的Fuzz任务构建、AI在任务对话中的引导、沙盒环境下的程序化工作等。

关键观点4: Fuzz与AI设施的改进与配合

文章指出了Fuzz与AI设施都需要改进以加强相互配合，包括在AI建设方面的需求细化、知识库维护、目标程序接口分析、Fuzz环境构建等方面，以及在Fuzz程序方面的优化改造、语料数据生成等。

文章预览

作 者：ghost461@ 知道创宇404实验室 时间： 2025年2月26日 本文为知道创宇404实验室内部分享沙龙“404 Open Day”的议题内容，作为目前团队AI安全研究系列的一部分，分享出来与大家一同交流学习。  1.概述 参考资料 本文受 Google 安全博客的《Leveling Up Fuzzing: Finding more vulnerabilities with AI》启发，结合自己对 Fuzz 工程的理解，解析自动化漏洞挖掘的工作流并分析 AI 如何帮助我们改进现有的体系。  2. 认识Fuzz工作流 参考资料 简单来讲，理想状态的模糊测试从生成畸形数据开始，通过接口输入目标程序，当程序运行发生崩溃后，分析程序 bug 并确认漏洞。 但Fuzz是一个系统性的工作流程，为了实现这一流程，我们需要为这个流程图添加一点细节，包括数据收集、接口分析、反馈数据收集等操作，以此来构建完整的模糊测试循环。  3. 目标设定与切入点讨论 ………………………………