Un système automatisé baptisé FuzzingBrain V2, exploitant plusieurs agents d’intelligence artificielle, a démontré une capacité inédite à détecter et reproduire des vulnérabilités logicielles. Dans un article scientifique mis en ligne, ses auteurs détaillent les performances de cet outil, qui a notamment permis de découvrir 29 vulnérabilités « zéro day » au sein de 12 projets open source différents.
Conçu pour répondre aux limites des approches existantes, ce système multi-agents repose sur les grands modèles de langage (LLM). Il vise trois problèmes majeurs : le taux élevé de faux positifs dans les rapports générés par l’IA, l’absence de vérification reproductible des failles signalées, et la difficulté à localiser précisément les vulnérabilités impliquant des dépendances complexes entre fonctions.
FuzzingBrain V2 s’appuie sur l’infrastructure OSS-Fuzz de Google, ce qui permet de garantir que chaque vulnérabilité signalée est reproductible par un outil de fuzzing. Le système introduit une abstraction originale nommée « Suspicious Point », qui permet une localisation des failles à un niveau de granularité optimal, entre l’analyse au niveau des fonctions et celle au niveau des lignes de code. Les chercheurs ont également mis au point une analyse hiérarchique des fonctions pilotée par la logique, couplée à un double niveau de fuzzing pour améliorer la couverture du code sous contrainte de ressources. Enfin, l’utilisation d’outils d’analyse statique et dynamique basés sur le protocole MCP, combinée à une ingénierie de contexte, renforce la capacité de raisonnement sur des vulnérabilités complexes.
Résultats chiffrés
Testé sur le jeu de données de la finale du concours AIxCC 2025, portant sur du code C et C++, FuzzingBrain V2 a atteint un taux de détection de 90 %, soit 36 vulnérabilités identifiées sur un total de 40. En conditions réelles, le système a débusqué 29 vulnérabilités « zéro day » dans une douzaine de projets open source. Toutes ces failles ont été confirmées et corrigées par les mainteneurs des projets concernés. Deux d’entre elles ont déjà obtenu un identifiant CVE (Common Vulnerabilities and Exposures), référence qui permet leur suivi dans les bases de données de sécurité.
Contexte de la recherche
Les auteurs rappellent que près de 50 000 vulnérabilités ont été recensées dans le catalogue CVE au cours de l’année précédant la publication. Ce chiffre souligne l’ampleur du défi que représente la sécurisation des logiciels. L’automatisation de la découverte et de la correction des failles est perçue comme une piste prometteuse pour faire face à ce volume croissant, et FuzzingBrain V2 s’inscrit dans cette dynamique.
Les travaux ont été menés par une équipe de chercheurs : Ze Sheng, Zhicheng Chen, Qingxiao Xu, Kewen Zhu et Jeff Huang. Le document technique complet a été mis en ligne sur une plateforme de prépublication scientifique.
