Spark deckt Sicherheitslücke in WolfSSL während Beta-Tests auf
BONN, Deutschland,, 9. Januar 2025 -- Code Intelligence, der Pionier im Bereich der automatisierten KI-Softwaretests, gab heute die Markteinführung von Spark bekannt, dem ersten KI-Testagenten, der autonom und ohne menschliche Interaktion Fehler in unbekanntem Code identifiziert. Es ist der erste KI-Agent, der eine echte Sicherheitslücke fand, indem er automatisch einen Test für eine weit verbreitete Open-Source-Bibliothek erstellte und ausführte.
Spark wurde entwickelt, um Softwaretests vollständig zu automatisieren, von der Identifizierung von Fehlern in einem frühen Stadium des Entwicklungsprozesses bis hin zu ihrer tatsächlichen Behebung, wodurch die Einstiegshürde für fortschrittliche Sicherheitstesttechnologien wie White-Box-Fuzz-Testing drastisch gesenkt wird. Beim Testen von Software spart man hierdurch bei einer Codebasis mit 100.000 Zeilen Code bis zu 1.000 Stunden an manuellem Aufwand.
Während der Beta-Tests entdeckte Spark eine Schwachstelle in WolfSSL, einer Open-Source-Kryptographie-Bibliothek, die bei der Entwicklung von eingebetteten Geräten und IoT-Systemen weit verbreitet ist. Die einzige menschliche Beteiligung bestand darin, einen einzigen Befehl zur Ausführung des KI-Testagenten zu starten; die Analyse des Codes, die Erstellung eines relevanten Testfalls und dessen Ausführung erfolgten komplett autonom. Die Schwachstelle, eine Heap-basierte Use-after-free-Schwachstelle, hätte zu unerwartetem Verhalten, Abstürzen oder Sicherheitslücken führen können. Das WolfSSL-Team hat das Problem sofort behoben und Ende Dezember 2024 eine neue Version mit der Korrektur veröffentlicht.
„Die aufgedeckte reale Schwachstelle beweist, dass KI effektiv manuelle Aufgaben beim Softwaretesten übernehmen kann – wie die Analyse von Code, die Identifizierung der wahrscheinlichsten Angriffsvektoren, und die Erstellung und Ausführung von Tests – und dadurch großartige Ergebnisse erzielen kann", sagte Eric Brüggemann, Geschäftsführer von Code Intelligence. „Als nächstes werden wir uns darauf konzentrieren, noch weiter zu gehen, indem wir alle aufgedeckten Fehler automatisch beheben. Das bedeutet, dass der gesamte Softwaretestprozess – von der Erstellung der Tests bis zur Fehlerbehebung – in wenigen Minuten und ohne menschliches Zutun abgeschlossen sein wird. Die endgültigen Entscheidungen werden jedoch weiterhin von Menschen getroffen. Wir werden automatisch generierte Pull Requests mit einem zuvor validierten Fix bereitstellen."
„Wir waren wirklich beeindruckt von den Fähigkeiten von Spark, unsere Fuzz-Testing-Workflows zu verbessern", sagt Andreas Lackner, leitender Software-Entwicklungsingenieur bei Vector Informatik. „Durch die Reduzierung des manuellen Aufwands für die Erstellung und Integration von Fuzz-Tests sind wir in der Lage, unsere Zykluszeit zu verkürzen und die Qualität unserer Embedded Software weiter zu verbessern."
Code Intelligence veranstaltet am 28. Januar ein offizielles Launch-Event für seinen KI-Test-Agenten, an dem Sicherheits- und Softwareentwicklungsexperten von Unternehmen wie Continental und Mozilla teilnehmen. Registrieren Sie sich hier.
Pressekontakt:
Dustin Rausa
dustin.rausa@code-intelligence.com
+1 203-470-0251
This News is brought to you by Qube Mark, your trusted source for the latest updates and insights in marketing technology. Stay tuned for more groundbreaking innovations in the world of technology.
