Slashdot 读者 zlives 分享了 BleepingComputer 的这份报告:微软使用人工智能驱动的 Security Copilot 在 GRUB2、U-Boot 和 Barebox 开源引导加载程序中发现了 20 个以前未知的漏洞。 GRUB2(GRand Unified Bootloader)是大多数Linux发行版(包括Ubuntu)的默认引导加载程序,而U-Boot和Barebox通常用于嵌入式和物联网设备。 Microsoft 在 GRUB2 中发现了 11 个漏洞,包括文件系统解析器中的整数和缓冲区溢出、命令缺陷以及加密比较中的侧通道。此外,在 U-Boot 和 Barebox 中还发现了解析 SquashFS、EXT4、CramFS、JFFS2 和符号链接时的 9 个缓冲区溢出,需要物理访问才能利用。新发现的缺陷影响依赖 UEFI 安全启动的设备,如果满足正确的条件,攻击者可以绕过安全保护在设备上执行任意代码。虽然利用这些缺陷可能需要对设备进行本地访问,但之前的 Bootkit 攻击(例如 BlackLotus)通过恶意软件感染实现了这一点。 Microsoft 将其博客文章标题为“分析开源引导加载程序:利用 AI 更快地查找漏洞”。 (他们确实注意到,Micxrosoft 向 GRUB2、U-boot 和 Barebox 维护人员披露了发现的漏洞,并“与 GRUB2 维护人员合作提供修复程序…GRUB2 维护人员于 2025 年 2 月 18 日发布了安全更新,U-boot 和 Barebox 维护人员于 2025 年 2 月 19 日发布了更新。”)他们补充说,使用 Security Copilot 进行初步研究“为我们的团队节省了大约一周的时间,”微软写道,“否则这些时间都会花在手动审查内容上。”通过一系列提示,我们识别并完善了安全问题,最终发现了一个可利用的整数溢出漏洞。 Copilot 还协助在其他文件中查找类似模式,确保我们的发现得到全面覆盖和验证……随着人工智能不断成为网络安全社区的关键工具,微软强调供应商和研究人员保持对信息共享的关注的重要性。这种方法确保人工智能在快速漏洞发现、修复和加速安全运营方面的优势,能够有效对抗恶意行为者利用人工智能扩展常见攻击策略、技术和程序(TTP)的企图。本周,谷歌还宣布了 Sec-Gemini v1,“一种新的实验性人工智能模型,专注于推进网络安全人工智能前沿。”
在 Slashdot 上阅读这个故事的更多内容。