BinaryAI目前仅支持用户体验示例文件的漏洞存在性分析效果。如需功能试用或业务合作，请联系：[email protected]。

传统的软件成分分析工具分析输出第三方组件清单后，关联得到这些组件涉及的已知漏洞列表。然而，由于这些工具未能验证漏洞是否真实存在，导致大量误报的产生，意味着需要投入更多时间和人力确认这些漏洞存在与否。

为了缓解漏洞误报过高带来的人工验证漏洞存在性难度大、成本高的问题，BinaryAI提出了一种二进制文件漏洞存在性分析技术，将漏洞存在性分析问题转化为判断目标文件函数与漏洞修复补丁前后源码的语义相似性，利用BinaryAI在函数相似性检索的算法优势大大降低漏洞人工验证成本。

以BinaryAI首页示例文件“libpng_1.2.50-2+deb8u3”为例：

https://www.binaryai.cn/analysis/2c5572c1f6879c67f1392216ea51af707f58e5f28597d17bec207643248f1d67

分析结果页的“漏洞存在性分析”结果展示了文件可能存在的漏洞列表，表格中还展示了每个漏洞相应的CVSS分数以及风险等级，并根据该文件中的函数和漏洞、补丁源码函数相似性分析结果，给出漏洞存在性的判定结果。

如图所示，BinaryAI识别到该文件中存在与部分漏洞源码高度相似的函数，同时也检测到部分函数与补丁源码相匹配。点击“查看相关函数”，可以进一步查看与漏洞相关的函数位置。

点击函数地址，可以在交互式分析页面查看补丁前后的源码。可以看到文件中漏洞相关函数和补丁后的源码函数具有更高的语义相似性。

还可以通过点击筛选图标，在交互式分析页面直接筛选特定漏洞/补丁源码匹配结果的函数。

BinaryAI的算法引擎核心能力已同步落地应用于腾讯安全多款产品，包括：

• 腾讯威胁情报TIX与攻击面管理ASM（https://tix.qq.com）

• 腾讯云二进制软件成分分析BSCA（https://cloud.tencent.com/product/bsca）

• 腾讯主机安全云镜（腾讯主机安全（云镜）兵器库：斩杀挖矿木马的利剑-BinaryAI引擎）

此外，科恩实验室始终以积极的姿态探索软件安全领域和前沿AI结合的科研落地，推动成果转化以解决产业痛点问题。

欢迎访问 https://www.binaryai.cn 或 阅读原文 前往体验！