基于大语言模型的JS引擎模糊测试方法
电子技术应用
丁加宇,沙乐天,潘家晔
南京邮电大学 计算机学院
摘要: 现有浏览器JavaScript引擎Fuzz工具在检测非崩溃类漏洞时存在不足。为此,提出一种结合内存检测与大语言模型的增强型漏洞检测方法。该方法改进Fuzz工具对潜在漏洞的判别能力,降低漏报率。同时,将大语言模型与常规变异器相结合,在PoC集激励下生成更复杂且具针对性的测试用例,有效探索深层代码路径,提升代码覆盖率。实验结果显示,改进后的工具在分支覆盖率和漏洞检测能力上较现有工具有效提升。
中图分类号:TP309 文献标志码:A DOI: 10.16157/j.issn.0258-7998.256463
中文引用格式: 丁加宇,沙乐天,潘家晔. 基于大语言模型的JS引擎模糊测试方法[J]. 电子技术应用,2026,52(2):66-70.
英文引用格式: Ding Jiayu,Sha Letian,Pan Jiaye. Fuzz testing method for JavaScript engines based on large language model[J]. Application of Electronic Technique,2026,52(2):66-70.
Fuzz testing method for JavaScript engines based on large language model
Ding Jiayu,Sha Letian,Pan Jiaye
School of Computer Science, Nanjing University of Posts and Telecommunications
Abstract: Existing Fuzz tools for browser JavaScript engines are insufficient in detecting non-crashing vulnerabilities. To address this issue, an enhanced vulnerability detection method combining memory detection and large language models (LLMs) is proposed. This method improves the Fuzz tool's ability to identify potential vulnerabilities and reduces the false-negative rate. Additionally, the integration of LLMs with conventional mutators generates more complex and targeted test cases under the stimulus of Proof-of-Concept (PoC) sets, effectively exploring deeper code paths and increasing code coverage. Experimental results show that the improved tool significantly enhances branch coverage and vulnerability detection capabilities compared to existing tools.
Key words : Fuzz testing;JavaScript engine;use after free

引言

随着互联网普及,浏览器作为访问在线服务、获取信息和交流的关键工具,承载大量敏感信息,其安全性至关重要。现代浏览器支持JavaScript引擎和WebAssembly等复杂功能,虽提升Web应用交互性和性能,但也增加安全风险,如JavaScript引擎出现过UAF、越界写入和整数溢出等漏洞[1-3]。

模糊测试作为自动化安全测试方法,可通过输入大量随机数据发现潜在漏洞[4],在复杂浏览器系统中优势显著,但也面临优化测试策略、提高效率以及减少误报和漏报等挑战。

本文提出基于大语言模型的改进方法,优化测试用例生成和变异过程,提升Fuzz工具效率。借助大语言模型,生成更复杂且具针对性的测试用例,增强测试用例多样性和覆盖范围,改进工具还强化对内存管理问题的检测能力,尤其在UAF漏洞检测方面,提高Fuzz工具在复杂程序空间中的漏洞探索能力。


本文详细内容请下载:

https://www.chinaaet.com/resource/share/2000006972


作者信息:

丁加宇,沙乐天,潘家晔

(南京邮电大学 计算机学院,江苏 南京 210023)

通知公告
编辑观点
理事会
参考资料
版权声明

凡《网络安全与数据治理》(原《信息技术与网络安全》)录用的文章,如作者没有关于汇编权、翻译权、印刷权及电子版的复制权、信息网络传播权与发行权等版权的特殊声明,即视作该文章署名作者同意将该文章的汇编权、翻译权、印刷权及电子版的复制权、信息网络传播权与发行权授予本刊,本刊有权授权本刊合作数据库、合作媒体等合作伙伴使用。同时,本刊支付的稿酬已包含上述使用的费用,特此声明。

《网络安全与数据治理》(原《信息技术与网络安全》)编辑部
Copyright © 2005-2024 《网络安全与数据治理》(原《信息技术与网络安全》)版权所有 京ICP备10017138号-3