南京大学与悉尼大学的计算机科学家联合研发出一套自动化AI安全检测系统A2,能够模拟人类安全专家的方法,从Android应用中识别并验证漏洞。据研究团队介绍,A2系统在Ghera基准测试中实现了78.3%的覆盖率,大幅优于传统静态分析工具APKHunt的30.0%。
团队在169款实际Android应用中运行A2,发现了104个真实的零日漏洞,其中57个通过自动生成的漏洞利用样例自我验证。一项成果是在一款安装量超千万的应用中识别出中等严重的intent重定向漏洞,这说明A2有能力确定现实中具有影响力的安全缺陷。
研究人员Liyi Zhou表示,现有的Android漏洞检测工具常被批评为信号不足、误报泛滥,而A2的显著优势在于其能够自动验证漏洞,极大提升了有效告警的比例,有助于缓解开发团队的负担。