I modelli di intelligenza artificiale possono essere sfruttati per eseguire attacchi informatici, ma permettono anche di scoprire vulnerabilità nel software. Il ricercatore Sean Heelan ha usato o3 di OpenAI per trovare un bug nel kernel di Linux.
o3 trova una vulnerabilità zero-day
Il modello o3 di OpenAI può eseguire compiti complessi, tra cui la scrittura di codice. Il ricercatore ha invece sfruttato la sua capacità di ragionamento per trovare la vulnerabilità zero-day CVE-2025-37899 nell’implementazione Linux del protocollo SMB, ovvero nel server ksmbd.
Come benchmark per valutare la capacità di o3 è stata usata un’altra vulnerabilità (CVE-2025-37778) scoperta manualmente dal ricercatore. Non potendo dare in input l’intero codice da un repository (la context window è limitata), Sean Heelan ha usato solo il codice per la gestione della sessione di setup del server ksmbd.
Il ricercatore ha quindi chiesto al modello o3, tramite il tool LLM, di cercare eventuali vulnerabilità di tipo use-after-free. Su 100 esecuzioni, o3 ha trovato la vulnerabilità CVE-2025-37778 otto volte. Aumentando la lunghezza del prompt (codice), o3 ha trovato la stessa vulnerabilità una volta, ma ha trovato anche la nuova vulnerabilità CVE-2025-37899.
Il ricercatore sottolinea che il modello o3 può sbagliare (falsi positivi), quindi non può sostituire lo sviluppatore umano. Può tuttavia offrire un aiuto nella ricerca delle vulnerabilità, se il codice da analizzare non è troppo lungo (circa 10.000 linee).
Ti potrebbe interessare
27 mag 2025