Buttercup：开源人工智能驱动系统检测和修补漏洞

Buttercup是一个免费的、自动化的、人工智能驱动的平台，可以发现并修复开源软件中的漏洞。它由Trail of Bits开发，最近在DARPA的AI网络挑战赛（AIxCC）中获得第二名。

主要组件

毛茛由四个主要组件组成，每个组件在发现和修复漏洞方面都发挥着不同的作用。

编排/UI组件使一切保持平稳运行，协调系统其他部分的操作，并向您展示它发现的漏洞和生成的补丁。除了标准网页界面外，Buttercup还将日志和系统事件发送到SigNoz遥测服务器，以便您可以看到它在幕后做什么。

漏洞发现引擎使用人工智能增强的突变模糊来发现揭示漏洞的程序输入。它建立在OSS-Fuzz/ClusterFuzz之上，并使用libFuzzer和Jazzer来寻找问题。

上下文分析采取不同的方法，使用传统的静态分析工具来创建详细的、可查询的程序模型。这些模型有助于为处理漏洞发现和修补的人工智能系统提供背景。Buttercup使用tree-sitter和CodeQuery等工具来构建这些模型。

最后，补丁生成是修复结合在一起的地方。这个多代理系统使用七个人工智能代理为毛茛发现的漏洞创建和验证补丁，确保修复是强大的，并且不会破坏程序的其余部分。

要求和下载

运行Buttercup的最低要求包括至少八个核心的CPU、16GB的RAM和100GB的可用磁盘空间。下载依赖项也需要稳定的互联网连接。

该解决方案依赖于第三方人工智能提供商，如OpenAI、Anthropic和Google的LLM，这些提供商会产生使用成本。要控制每次部署的费用，请使用内置的LLM预算设置。

Buttercup在GitHub上免费提供。

原文来源：helpnetsecurity