零人工编码，腾讯安全大数据实验室发布漏洞自动挖掘工具Hopper

作者：郝俊慧 来源：IT时报

先于攻击者找到系统漏洞，是每个安全人员一直在追求的梦想。

最近，腾讯安全大数据实验室推出漏洞自动化挖掘工具Hopper，可以自动生成检测代码挖掘漏洞，从而距离“全自动”漏洞挖掘又近了一步。基于此方法撰写的论文《Hopper: Interpretative Fuzzing for Libraries》被11月26日召开的计算机领域国际权威学术顶会ACM CCS大会收录。

模糊测试技术（Fuzzing）最近几年被证明是最有效的漏洞挖掘手段，它的主要机制是通过构造大量的随机输入来测试软件是否能够正确的处理这些输入，从而帮助开发人员自动化地发现软件缺陷。目前，模糊测试技术在开源软件和商业软件上被广泛使用。

但是，模糊测试依赖于开发人员给目标对象人工构造测试入口（Fuzz Driver），而编写出逻辑正确且覆盖率高的测试入口，既需要开发者对待测的库有深入的理解，也需要耗费较大的工作量。在居高不下的门槛之下，目前仍有非常多的代码（包括项目、API等等）没有被模糊测试所覆盖，漏洞挖掘的“自动化”程度有限。

该论文提出了解释性模糊测试（Interpretative Fuzzing）方法，不需要开发人员编写测试入口，Fuzzer可以直接生成待执行的程序，从而实现完全零人工地学习和测试任意库API，打通模糊测试全自动化的流程，极大地提升漏洞自动化挖掘的效率。

腾讯安全大数据实验室基于此方法开发的漏洞自动化挖掘工具Hopper，在11个开源的库文件进行了测试。结果表明，Hopper在其中三个库中覆盖率表现有显著优势，在其他库能取得跟人工构造的入口不相上下的效果。

在API覆盖率上，Hopper能达到93.52%的极高水准，而对相同目标人工编写的模糊测试入口只能覆盖大约15%-30%的API。

此外，Hopper推断的API内约束能达到96.51%的准确率，大大提升生成代码的成功率和效率。

腾讯安全大数据实验室认为，网络安全面临的内外部技术都在不断发展，但网络安全的本质还是漏洞和攻防，大模型时代， 腾讯安全也将持续探索如何让AI等新技术赋能于漏洞挖掘、提升效率。