Récemment, lors de la conférence No Hat sur la sécurité en Italie, la société Protect AI, basée à Seattle, a annoncé le lancement de Vulnhuntr, un outil open source. L'objectif de cet outil est clair : aider les développeurs à détecter les failles de sécurité zero-day dans le code Python, grâce au modèle d'IA Claude d'Anthropic.
Vulnhuntr fonctionne de manière très différente des outils traditionnels d'analyse statique de code. Au lieu de simplement soumettre des extraits de code à l'IA, il identifie automatiquement les fichiers susceptibles de traiter les entrées d'utilisateurs distants.
Ensuite, l'IA Claude analyse en profondeur ces points faibles potentiels. Pendant ce processus, Claude interroge continuellement les fonctions, les classes et les variables du code pour suivre complètement la chaîne d'appels, de l'entrée utilisateur à la sortie du serveur. Cette approche réduit efficacement le nombre de faux positifs et de faux négatifs, car elle examine toute la chaîne d'appels et non seulement de petits fragments de code.
Après optimisation avec les meilleures pratiques d'utilisation de Claude AI, les performances de Vulnhuntr se sont considérablement améliorées. Bien qu'il prenne également en charge GPT-4 d'OpenAI, les résultats sont moins performants qu'avec Claude. McInerney a indiqué que Vulnhuntr a déjà détecté plus d'une dizaine de failles zero-day dans de grands projets Python open source, failles qui n'avaient pas été détectées ou signalées auparavant par les mainteneurs du projet.
Actuellement, Vulnhuntr se concentre sur sept types de vulnérabilités exploitables à distance, notamment le remplacement de fichiers arbitraires, les fuites de fichiers, la falsification de requête inter-sites (CSRF), les scripts intersites (XSS), les références d'objets directes, les injections SQL et l'exécution de code à distance. L'outil analyse des projets, dont plusieurs projets open source populaires sur GitHub comptant des dizaines de milliers d'étoiles.
Cependant, Vulnhuntr présente quelques limites. Il ne prend actuellement en charge que le code Python et dépend d'un analyseur statique Python. Lors de l'analyse du code, l'IA génère un score de confiance pour aider l'utilisateur à évaluer la validité de la vulnérabilité. Bien que cet outil ait fait des progrès significatifs dans la détection des failles zero-day, McInerney souligne que les résultats générés par l'IA ne sont pas toujours cohérents, et plusieurs exécutions peuvent être nécessaires.
Vulnhuntr devrait être publié sur GitHub, et Protect AI encourage les chasseurs de bugs à utiliser cet outil pour tester les projets open source.
Points clés :
🌟 Vulnhuntr est un outil open source qui utilise l'IA Claude pour aider les développeurs à détecter les failles zero-day dans le code Python.
🛠️ Le fonctionnement de cet outil diffère de l'analyse statique ; il permet de suivre la chaîne d'appels complète, de l'entrée utilisateur à la sortie du serveur.
🚀 Vulnhuntr a déjà détecté plusieurs failles zero-day dans de grands projets open source et sera publié sur GitHub pour les développeurs.