Het team van Intruder heeft een geautomatiseerde aanpak ontwikkeld waarbij AI en code scanning worden gecombineerd om nieuwe, exploiteerbare kwetsbaarheden te ontdekken in productiesoftware. Met behulp van grote taalmodellen (LLM's) en code scanning frameworks zoals Joern is het mogelijk om kwetsbaarheden te vinden en automatisch te exploiteren, zonder menselijke tussenkomst.
Een belangrijk obstakel bij het gebruik van AI voor het scannen van volledige codebases is het gebrek aan focus. LLM's presteren goed op kleine codefragmenten of specifieke problemen, maar raken bij grote codebases snel overbelast met irrelevante informatie, wat de nauwkeurigheid vermindert. Intruder omzeilt dit door gebruik te maken van een techniek genaamd program slicing, vergelijkbaar met methoden die in IDE's en taalservers worden gebruikt om relevante functies en aanroepen te isoleren. Hierdoor wordt de context beperkt tot alleen de relevante code, wat de effectiviteit van de AI aanzienlijk verhoogt.
De ontwikkelde pipeline start met het scannen van een codebase met Joern, die brede regels toepast om interessante patronen te signaleren. Vervolgens genereert het systeem slices van code die relevant zijn voor elk gevonden patroon. Deze slices worden door een LLM geanalyseerd om de kwetsbaarheid te triëren en te exploiteren. Voor hun experiment richtte Intruder zich op de top 200 WordPress-plugins, die al intensief door bug bounty-onderzoekers zijn bekeken. Desondanks ontdekte het systeem een multi-stage, remote SQL-injectie zero-day in een plugin met meer dan 300.000 gebruikers. Deze kwetsbaarheid, geregistreerd als CVE-2026-3985, werd volledig automatisch gevonden en geëxploiteerd zonder menselijke tussenkomst.
Reacties
Geef een reactie
Vereiste velden zijn gemarkeerd met *