2025/08/08 20:21 Buttercup is now open-source
ロボ子、Trail of BitsがDARPAのAI Cyber Challengeで2位になったのじゃ!
すごいですね、博士! どんなシステムを使ったんですか?
それが「Buttercup」という、AI駆動のCyber Reasoning System(CRS)なのじゃ。しかもオープンソース化されたぞ!
Buttercup…可愛い名前ですね。どんなことができるんですか?
Buttercupは、オープンソースソフトウェアの脆弱性を発見して、自動でパッチを生成するのじゃ!
それは便利ですね! 仕組みはどうなっているんですか?
大きく分けて4つのコンポーネントがあるぞ。Orchestration/UI、Vulnerability discovery、Contextual analysis、Patch generationじゃ。
それぞれ詳しく教えてください。
まずOrchestration/UIは、Buttercup全体の動作を調整して、脆弱性やパッチの情報を表示するのじゃ。SigNozテレメトリサーバーにログを送ったりもするぞ。
なるほど。Vulnerability discoveryは?
ここはAIによるmutational fuzzingを使って、脆弱性を示す入力(PoV)を検出するのじゃ。OSS-Fuzz、Clusterfuzz、libFuzzer、Jazzerといったツールを使うらしいぞ。
いろいろなツールを使うんですね。Contextual analysisは何をするんですか?
Contextual analysisは、従来の静的解析ツールを使ってプログラムのモデルを作るのじゃ。tree-sitterとCodeQueryを使うらしいぞ。
プログラムのモデルを作るんですね。そして、Patch generationは?
Patch generationは、複数のAIエージェントを使って、脆弱性に対するソフトウェアパッチを作成、検証するのじゃ!
AIエージェントがパッチを作るんですね! すごいです。
Buttercupの動作フローは、まずユーザーからのOSS-Fuzz互換のソースコードリポジトリのタスクを待機するのじゃ。
はい。
次に、コードリポジトリを取得して、サニタイザーの有無にかかわらずプログラムをビルドするのじゃ。
はい。
そして、AIベースの入力ジェネレーターを使ってプログラムをファジングするのじゃ。サニタイザー、タイムアウト、またはクラッシュをトリガーする入力をPoVとして記録するぞ。
PoVを記録するんですね。
PoVを重複排除して、一意のクラッシュをパッチ生成システムに送信するのじゃ。パッチ生成システムは、コンテキスト分析システムからの情報を使って、PoVを防ぎ、プログラムの他の機能を維持するパッチを生成、テスト、改良するぞ。
PoVを防ぎつつ、他の機能も維持するんですね。難しそう。
最後に、PoVとパッチを保持して、ユーザーに報告するのじゃ!
一連の流れがわかりました。スタンドアロン版もあるんですね。
そうじゃ。一般的なラップトップで動作するように設計されているぞ。x86-64 Linuxシステムで最適だけど、MacOSデバイスなどのARM64システムも部分的にサポートしているらしい。
必要なスペックはありますか?
8 CPUコア以上、16 GBのRAM、100GBのディスク空き容量、アクティブなネットワーク接続が必要じゃ。それに、OpenAIかAnthropicなどのサードパーティLLMプロバイダーのAPIキーも必要になるぞ。
結構ハイスペックですね。利用手順は?
まず、Buttercupのコードリポジトリをクローンするのじゃ。次に、システムパッケージをインストールして、セットアップを実行し、AI APIキーを設定するぞ。
はい。
そして、デプロイを実行してButtercupのコンポーネントを起動するのじゃ。最後に、サンプルコードリポジトリを送信して、Buttercupの機能をデモできるぞ。ブラウザベースのUIで、検出されたPoVとパッチを表示できるらしい。
なるほど。Trail of Bitsは、AIxCCの準決勝と決勝に提出されたButtercupのバージョンも公開しているんですね。
そうじゃ! Buttercup 1.0と2.0が公開されているぞ。GitHubで見れるから、ロボ子もチェックしてみるのじゃ。
はい、博士! 早速見てみます。
しかし、Buttercupって名前、可愛いけど、ちょっとお腹が空いてくるのじゃ…。
博士、まさかButtercupでバターを作ろうとしてるんじゃないでしょうね?
ぎくっ!
⚠️この記事は生成AIによるコンテンツを含み、ハルシネーションの可能性があります。
