会员服务
SQL · CASES · 覆盖 · 评论员 · Processing(编程语言) ·
3 月 23 日
FuzzySQL: Uncovering Hidden Vulnerabilities in DBMS Special Features with LLM-Driven Fuzzing
翻译:暂无翻译
Yongxin Chen,Zhiyuan Jiang,Chao Zhang,Haoran Xu,Shenglin Xu,Jianping Tang,Zheming Li,Peidai Xie,Yongjun Wang
Yongxin Chen,Zhiyuan Jiang,Chao Zhang,Haoran Xu,Shenglin Xu,Jianping Tang,Zheming Li,Peidai Xie,Yongjun Wang

Traditional database fuzzing techniques primarily focus on syntactic correctness and general SQL structures, leaving critical yet obscure DBMS features, such as system-level modes (e.g., GTID), programmatic constructs (e.g., PROCEDURE), advanced process commands (e.g., KILL), largely underexplored. Although rarely triggered by typical inputs, these features can lead to severe crashes or security issues when executed under edge-case conditions. In this paper, we present FuzzySQL, a novel LLM-powered adaptive fuzzing framework designed to uncover subtle vulnerabilities in DBMS special features. FuzzySQL combines grammar-guided SQL generation with logic-shifting progressive mutation, a novel technique that explores alternative control paths by negating conditions and restructuring execution logic, synthesizing structurally and semantically diverse test cases. To further ensure deeper execution coverage of the back end, FuzzySQL employs a hybrid error repair pipeline that unifies rule-based patching with LLM-driven semantic repair, enabling automatic correction of syntactic and context-sensitive failures. We evaluate FuzzySQL across multiple DBMSs, including MySQL, MariaDB, SQLite, PostgreSQL and Clickhouse, uncovering 64 vulnerabilities, 27 of which are tied to under-tested DBMS special features. As of this writing, 60 cases have been confirmed with 9 assigned CVE identifiers, 31 already fixed by vendors, and additional vulnerabilities scheduled to be patched in upcoming releases. Our results highlight the limitations of conventional fuzzers in semantic feature coverage and demonstrate the potential of LLM-based fuzzing to discover deeply hidden bugs in complex database systems.


翻译:暂无翻译
0
下载
关闭预览

相关内容

SQL 全名是结构化查询语言,是用于数据库中的标准数据查询语言,IBM 公司最早使用在其开发的数据库系统中。
AAAI2025|TrustUQA:统一结构化数据问答的可信框架
AAAI2025|TrustUQA:统一结构化数据问答的可信框架
专知会员服务
20+阅读 · 2024年12月20日
WSDM 2024| LLMs助力图学习?基于大模型的图数据增强
WSDM 2024| LLMs助力图学习?基于大模型的图数据增强
专知会员服务
27+阅读 · 2023年11月19日
Text2SQL 针对表格数据的自然语言接口查询与可视化:一项综述
Text2SQL 针对表格数据的自然语言接口查询与可视化:一项综述
专知会员服务
58+阅读 · 2023年10月30日
智能数据库学习型索引研究综述
智能数据库学习型索引研究综述
专知会员服务
23+阅读 · 2023年1月14日
【斯坦福大学】《海量数据集挖掘》电子书及相关资源《Mining of Massive Datasets》
【斯坦福大学】《海量数据集挖掘》电子书及相关资源《Mining of Massive Datasets》
专知会员服务
81+阅读 · 2020年3月30日
【电子书】大数据挖掘,Mining of Massive Datasets,附513页PDF
【电子书】大数据挖掘,Mining of Massive Datasets,附513页PDF
专知会员服务
105+阅读 · 2020年3月22日
使用深度学习方法解析问题 知识图谱存储 查询知识点 基于医疗垂直领域的对话系统 by Mr.Young GitHub
专知会员服务
44+阅读 · 2020年1月30日
【NLP| 推荐文章】基于知识库的问答系统关键技术综述(Core techniques of question answering systems over knowledge bases:a survey)
专知会员服务
47+阅读 · 2019年11月24日
【CIKM2019 Tutorial】Syn­ergy of Data­base Tech­niques and Ma­chine Learn­ing Mod­els for String Sim­il­ar­ity Search and Join(字符串相似性搜索与连接:数据库技术与机器学习模型的协同),附论文免费下载
【CIKM2019 Tutorial】Syn­ergy of Data­base Tech­niques and Ma­chine Learn­ing Mod­els for String Sim­il­ar­ity Search and Join(字符串相似性搜索与连接:数据库技术与机器学习模型的协同),附论文免费下载
专知会员服务
10+阅读 · 2019年11月3日
Natural Language Interface to Knowledge Graph (our experience) ,加州大学圣塔芭芭拉分校严锡峰副教授,CIPS ATT 16(2019)
Natural Language Interface to Knowledge Graph (our experience) ,加州大学圣塔芭芭拉分校严锡峰副教授,CIPS ATT 16(2019)
专知会员服务
16+阅读 · 2019年10月25日
Hierarchically Structured Meta-learning
Hierarchically Structured Meta-learning
CreateAMind
27+阅读 · 2019年5月22日
Web渗透测试Fuzz字典分享
Web渗透测试Fuzz字典分享
黑白之道
21+阅读 · 2019年5月22日
Github项目推荐 | 语义分割、实例分割、全景分割和视频分割的论文和基准列表
Github项目推荐 | 语义分割、实例分割、全景分割和视频分割的论文和基准列表
AI研习社
32+阅读 · 2019年4月5日
Github项目推荐 | Chatito - 使用简单的DSL为AI聊天机器人、NLP任务、命名实体识别或文本分类模型生成数据集
Github项目推荐 | Chatito - 使用简单的DSL为AI聊天机器人、NLP任务、命名实体识别或文本分类模型生成数据集
AI研习社
13+阅读 · 2019年1月21日
Unsupervised Learning via Meta-Learning
Unsupervised Learning via Meta-Learning
CreateAMind
44+阅读 · 2019年1月3日
每日论文 | CV中深度学习涉及到的几何和不确定性;用深度学习分析气象;可自动调整模拟器参数的模型
每日论文 | CV中深度学习涉及到的几何和不确定性;用深度学习分析气象;可自动调整模拟器参数的模型
论智
11+阅读 · 2018年10月9日
专栏 | 神经网络架构搜索(NAS)综述(附AutoML资料推荐)
专栏 | 神经网络架构搜索(NAS)综述(附AutoML资料推荐)
机器之心
13+阅读 · 2018年9月1日
【论文推荐】最新十篇推荐系统相关论文—内容感知、图卷积神经网络、博弈论、个性化排序、元学习、xDeepFM
【论文推荐】最新十篇推荐系统相关论文—内容感知、图卷积神经网络、博弈论、个性化排序、元学习、xDeepFM
专知
21+阅读 · 2018年6月18日
论文浅尝 | 利用 RNN 和 CNN 构建基于 FreeBase 的问答系统
论文浅尝 | 利用 RNN 和 CNN 构建基于 FreeBase 的问答系统
开放知识图谱
11+阅读 · 2018年4月25日
论文浅尝 | Question Answering over Freebase
论文浅尝 | Question Answering over Freebase
开放知识图谱
19+阅读 · 2018年1月9日
云计算环境中面向内容的密文检索关键技术研究
国家自然科学基金
0+阅读 · 2017年12月31日
语义Web知识库补全关键技术研究
国家自然科学基金
18+阅读 · 2017年12月31日
大规模模糊RDF数据管理关键技术研究
国家自然科学基金
9+阅读 · 2015年12月31日
面向异构数据库的查询语言设计及其基础理论研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于文本模式的海量电能质量数据自动分析技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
Web页面数据对象的感知理解与计算
国家自然科学基金
0+阅读 · 2014年12月31日
面向大数据的知识表示、推理、在线学习理论及应用研究
国家自然科学基金
12+阅读 · 2014年12月31日
基于网络的情感语义词典的自动构建技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
集群环境下内存空间数据库管理与查询技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
大规模格结构数据管理关键技术研究
国家自然科学基金
1+阅读 · 2014年12月31日
FlexSQL: Flexible Exploration and Execution Make Better Text-to-SQL Agents
Arxiv
0+阅读 · 5月4日
A Model-Driven Approach to Database Migration with a Unified Data Model
Arxiv
0+阅读 · 4月24日
PV-SQL: Synergizing Database Probing and Rule-based Verification for Text-to-SQL Agents
Arxiv
0+阅读 · 4月19日
DPSQL+: A Differentially Private SQL Library with a Minimum Frequency Rule
Arxiv
0+阅读 · 4月16日
SynQL: A Controllable and Scalable Rule-Based Framework for SQL Workload Synthesis for Performance Benchmarking
Arxiv
0+阅读 · 4月9日
VulGD: A LLM-Powered Dynamic Open-Access Vulnerability Graph Database
Arxiv
0+阅读 · 4月8日
SQLStructEval: Structural Evaluation of LLM Text-to-SQL Generation
Arxiv
0+阅读 · 4月8日
DBAutoDoc: Automated Discovery and Documentation of Undocumented Database Schemas via Statistical Analysis and Iterative LLM Refinement
Arxiv
0+阅读 · 3月24日
Why Database Manuals Are Not Enough: Efficient and Reliable Configuration Tuning for DBMSs via Code-Driven LLM Agents
Arxiv
0+阅读 · 3月24日
LLMIA: An Out-of-the-Box Index Advisor via In-Context Learning with LLMs
Arxiv
0+阅读 · 3月19日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
SQL
CASES
覆盖
评论员
Processing(编程语言)
最新内容
DeepSeek 版Claude Code,免费小白安装教程来了!
DeepSeek 版Claude Code,免费小白安装教程来了!
专知会员服务
7+阅读 · 5月5日
【ICML Spotlight 2026】 T²PO: 不确定性引导的探索控制框架,实现稳定多轮Agentic强化学习
【ICML Spotlight 2026】 T²PO: 不确定性引导的探索控制框架,实现稳定多轮Agentic强化学习
专知会员服务
3+阅读 · 5月5日
基础模型驱动的工业智能体:技术成熟度、能力变迁与未竟之挑战
基础模型驱动的工业智能体:技术成熟度、能力变迁与未竟之挑战
专知会员服务
3+阅读 · 5月5日
《机动炮兵的演进与未来:技术进步、历史沿革与炮兵作战前瞻》
《机动炮兵的演进与未来:技术进步、历史沿革与炮兵作战前瞻》
专知会员服务
4+阅读 · 5月5日
《火炮弹药快速效能建模:提升互操作性与技术优势》(报告)
《火炮弹药快速效能建模:提升互操作性与技术优势》(报告)
专知会员服务
5+阅读 · 5月5日
《美空军条令出版物 2-0:情报(2026版)》
《美空军条令出版物 2-0:情报(2026版)》
专知会员服务
12+阅读 · 5月5日
美陆军“飞蝇陷阱5.0”项目将新兴技术交到作战人员手中
美陆军“飞蝇陷阱5.0”项目将新兴技术交到作战人员手中
专知会员服务
4+阅读 · 5月5日
帕兰提尔 Gotham:一个游戏规则改变器
帕兰提尔 Gotham:一个游戏规则改变器
专知会员服务
6+阅读 · 5月5日
【ICML 2026】用测试时训练线性化视觉Transformer:T⁵ 实现 Softmax 注意力到线性复杂度的快速转换
【ICML 2026】用测试时训练线性化视觉Transformer:T⁵ 实现 Softmax 注意力到线性复杂度的快速转换
专知会员服务
2+阅读 · 5月5日
【AAAI 2026】大模型做知识蒸馏:CMM将LLM特征拆解给小模型协同学习
【AAAI 2026】大模型做知识蒸馏:CMM将LLM特征拆解给小模型协同学习
专知会员服务
2+阅读 · 5月5日
【ICML Spotlight 2026 】NonZero:交互引导探索的多智能体蒙特卡洛树搜索
【ICML Spotlight 2026 】NonZero:交互引导探索的多智能体蒙特卡洛树搜索
专知会员服务
8+阅读 · 5月4日
【综述】 机器人学习中的世界模型:全面综述
【综述】 机器人学习中的世界模型:全面综述
专知会员服务
11+阅读 · 5月4日
伊朗的导弹-无人机行动及其对美国威慑的影响
伊朗的导弹-无人机行动及其对美国威慑的影响
专知会员服务
9+阅读 · 5月4日
《未来战术无人机系统案例研究:量身定制采办策略方法》100页报告
《未来战术无人机系统案例研究:量身定制采办策略方法》100页报告
专知会员服务
9+阅读 · 5月4日
战争贩子:2026年第一季度美国对中东潜在军售激增
战争贩子:2026年第一季度美国对中东潜在军售激增
专知会员服务
7+阅读 · 5月4日
相关VIP内容
AAAI2025|TrustUQA:统一结构化数据问答的可信框架
AAAI2025|TrustUQA:统一结构化数据问答的可信框架
专知会员服务
20+阅读 · 2024年12月20日
WSDM 2024| LLMs助力图学习?基于大模型的图数据增强
WSDM 2024| LLMs助力图学习?基于大模型的图数据增强
专知会员服务
27+阅读 · 2023年11月19日
Text2SQL 针对表格数据的自然语言接口查询与可视化:一项综述
Text2SQL 针对表格数据的自然语言接口查询与可视化:一项综述
专知会员服务
58+阅读 · 2023年10月30日
智能数据库学习型索引研究综述
智能数据库学习型索引研究综述
专知会员服务
23+阅读 · 2023年1月14日
【斯坦福大学】《海量数据集挖掘》电子书及相关资源《Mining of Massive Datasets》
【斯坦福大学】《海量数据集挖掘》电子书及相关资源《Mining of Massive Datasets》
专知会员服务
81+阅读 · 2020年3月30日
【电子书】大数据挖掘,Mining of Massive Datasets,附513页PDF
【电子书】大数据挖掘,Mining of Massive Datasets,附513页PDF
专知会员服务
105+阅读 · 2020年3月22日
使用深度学习方法解析问题 知识图谱存储 查询知识点 基于医疗垂直领域的对话系统 by Mr.Young GitHub
专知会员服务
44+阅读 · 2020年1月30日
【NLP| 推荐文章】基于知识库的问答系统关键技术综述(Core techniques of question answering systems over knowledge bases:a survey)
专知会员服务
47+阅读 · 2019年11月24日
【CIKM2019 Tutorial】Syn­ergy of Data­base Tech­niques and Ma­chine Learn­ing Mod­els for String Sim­il­ar­ity Search and Join(字符串相似性搜索与连接:数据库技术与机器学习模型的协同),附论文免费下载
【CIKM2019 Tutorial】Syn­ergy of Data­base Tech­niques and Ma­chine Learn­ing Mod­els for String Sim­il­ar­ity Search and Join(字符串相似性搜索与连接:数据库技术与机器学习模型的协同),附论文免费下载
专知会员服务
10+阅读 · 2019年11月3日
Natural Language Interface to Knowledge Graph (our experience) ,加州大学圣塔芭芭拉分校严锡峰副教授,CIPS ATT 16(2019)
Natural Language Interface to Knowledge Graph (our experience) ,加州大学圣塔芭芭拉分校严锡峰副教授,CIPS ATT 16(2019)
专知会员服务
16+阅读 · 2019年10月25日
热门VIP内容
相关资讯
Hierarchically Structured Meta-learning
Hierarchically Structured Meta-learning
CreateAMind
27+阅读 · 2019年5月22日
Web渗透测试Fuzz字典分享
Web渗透测试Fuzz字典分享
黑白之道
21+阅读 · 2019年5月22日
Github项目推荐 | 语义分割、实例分割、全景分割和视频分割的论文和基准列表
Github项目推荐 | 语义分割、实例分割、全景分割和视频分割的论文和基准列表
AI研习社
32+阅读 · 2019年4月5日
Github项目推荐 | Chatito - 使用简单的DSL为AI聊天机器人、NLP任务、命名实体识别或文本分类模型生成数据集
Github项目推荐 | Chatito - 使用简单的DSL为AI聊天机器人、NLP任务、命名实体识别或文本分类模型生成数据集
AI研习社
13+阅读 · 2019年1月21日
Unsupervised Learning via Meta-Learning
Unsupervised Learning via Meta-Learning
CreateAMind
44+阅读 · 2019年1月3日
每日论文 | CV中深度学习涉及到的几何和不确定性;用深度学习分析气象;可自动调整模拟器参数的模型
每日论文 | CV中深度学习涉及到的几何和不确定性;用深度学习分析气象;可自动调整模拟器参数的模型
论智
11+阅读 · 2018年10月9日
专栏 | 神经网络架构搜索(NAS)综述(附AutoML资料推荐)
专栏 | 神经网络架构搜索(NAS)综述(附AutoML资料推荐)
机器之心
13+阅读 · 2018年9月1日
【论文推荐】最新十篇推荐系统相关论文—内容感知、图卷积神经网络、博弈论、个性化排序、元学习、xDeepFM
【论文推荐】最新十篇推荐系统相关论文—内容感知、图卷积神经网络、博弈论、个性化排序、元学习、xDeepFM
专知
21+阅读 · 2018年6月18日
论文浅尝 | 利用 RNN 和 CNN 构建基于 FreeBase 的问答系统
论文浅尝 | 利用 RNN 和 CNN 构建基于 FreeBase 的问答系统
开放知识图谱
11+阅读 · 2018年4月25日
论文浅尝 | Question Answering over Freebase
论文浅尝 | Question Answering over Freebase
开放知识图谱
19+阅读 · 2018年1月9日
相关论文
FlexSQL: Flexible Exploration and Execution Make Better Text-to-SQL Agents
Arxiv
0+阅读 · 5月4日
A Model-Driven Approach to Database Migration with a Unified Data Model
Arxiv
0+阅读 · 4月24日
PV-SQL: Synergizing Database Probing and Rule-based Verification for Text-to-SQL Agents
Arxiv
0+阅读 · 4月19日
DPSQL+: A Differentially Private SQL Library with a Minimum Frequency Rule
Arxiv
0+阅读 · 4月16日
SynQL: A Controllable and Scalable Rule-Based Framework for SQL Workload Synthesis for Performance Benchmarking
Arxiv
0+阅读 · 4月9日
VulGD: A LLM-Powered Dynamic Open-Access Vulnerability Graph Database
Arxiv
0+阅读 · 4月8日
SQLStructEval: Structural Evaluation of LLM Text-to-SQL Generation
Arxiv
0+阅读 · 4月8日
DBAutoDoc: Automated Discovery and Documentation of Undocumented Database Schemas via Statistical Analysis and Iterative LLM Refinement
Arxiv
0+阅读 · 3月24日
Why Database Manuals Are Not Enough: Efficient and Reliable Configuration Tuning for DBMSs via Code-Driven LLM Agents
Arxiv
0+阅读 · 3月24日
LLMIA: An Out-of-the-Box Index Advisor via In-Context Learning with LLMs
Arxiv
0+阅读 · 3月19日
相关基金
云计算环境中面向内容的密文检索关键技术研究
国家自然科学基金
0+阅读 · 2017年12月31日
语义Web知识库补全关键技术研究
国家自然科学基金
18+阅读 · 2017年12月31日
大规模模糊RDF数据管理关键技术研究
国家自然科学基金
9+阅读 · 2015年12月31日
面向异构数据库的查询语言设计及其基础理论研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于文本模式的海量电能质量数据自动分析技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
Web页面数据对象的感知理解与计算
国家自然科学基金
0+阅读 · 2014年12月31日
面向大数据的知识表示、推理、在线学习理论及应用研究
国家自然科学基金
12+阅读 · 2014年12月31日
基于网络的情感语义词典的自动构建技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
集群环境下内存空间数据库管理与查询技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
大规模格结构数据管理关键技术研究
国家自然科学基金
1+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top