南科大-蚂蚁安全可信技术联合研究平台合作论文获ICSE'25杰出论文奖

主要观点总结

南方科技大学-蚂蚁集团安全可信技术联合研究平台在国际软件工程CCF-A级会议ICSE 2025上发表的论文《Tumbling Down the Rabbit Hole: How do Assisting Exploration Strategies Facilitate Grey-box Fuzzing?》获得ACM SIGSOFT杰出论文奖。该研究发现灰盒模糊测试中辅助策略的核心效能边界，并提出CDFuzz技术，实现覆盖率和漏洞挖掘能力的双重突破。

关键观点总结

关键观点1: 研究背景与成果

研究团队蚂蚁集团与南方科技大学成立了安全可信技术联合研究平台，旨在探究安全可信系统相关理论及技术。其最新论文在国际会议ICSE 2025上发表并荣获ACM SIGSOFT杰出论文奖。

关键观点2: CDFuzz技术的核心优势

CDFuzz技术无需额外插桩，基于程序控制流图自动提取关键常量。其定制靶向字典为每粒种子动态生成，精准覆盖执行路径约束中的常量条件，提升效率。此外，它零编译/运行开销，全程无缝融合。

关键观点3: 研究发现对传统模糊测试的挑战

随着软件系统复杂性的增加，传统的模糊测试方法在挖掘软件漏洞方面面临挑战。特别是处理由常量约束保护的程序状态时，现有的灰盒模糊测试技术效率不高。CDFuzz技术的提出解决了这一问题。

关键观点4: 实验数据与成果验证

CDFuzz技术在实验测试中展现出显著优势，平均覆盖率提升16.1%，并在真实场景中挖掘出多个高风险漏洞。这一技术在多种文件格式中均表现出稳定性。

关键观点5: 未来展望

研究团队将持续探索轻量化模糊测试优化技术，进一步提升轻量级便于工业落地应用的模糊测试机制，并在蚂蚁的实际场景中进行应用与持续优化。

正文

请到「今天看啥」查看全文

>论文原文：

https://arxiv.org/pdf/2409.14541

>项目源码：

https://github.com/GhabiX/CDFuzz

CDFuzz三大核心优势

1.无需额外插桩： 基于程序控制流图（CFG）自动提取关键常量，摆脱传统策略对额外插桩以及复杂符号执行或梯度求解的依赖。

请到「今天看啥」查看全文