Big Sleep, ein KI -Modell, das von Google Project Zero in Zusammenarbeit mit DeepMind entwickelt wurde, entdeckte und fixierte eine Sicherheitsanfälligkeit der Speichersicherheit in der SQLite -Datenbank. Dies ist das erste Mal, dass AI bekannte Schwachstellen in der realen Software entdeckt und einen großen Durchbruch in der KI im Bereich der Softwaresicherheit erzielt. Durch die Analyse der SQLite -Code -Basis entdeckte Big Sleep Stack Puffer Unterlaufschwachstellen, die durch herkömmliche Fuzzing -Tests noch nicht erkannt wurden, und half dem Entwicklungsteam, sie rechtzeitig zu beheben und potenzielle Sicherheitsrisiken zu vermeiden. Diese Leistung zeigt das enorme Potenzial von KI bei der Unterstützung der Softwareleistung und bietet eine neue Richtung für zukünftige Software -Sicherheitsforschung.
Google hat kürzlich angekündigt, dass sein neuestes KI -Modell "Big Sleep" in der SQLite -Datenbank erfolgreich eine Anfälligkeit für die Speichersicherheit entdeckt hat. Diese Sicherheitsanfälligkeit ist ein Ausnutzungsproblem von Stack Puffer -Unterlauf, sodass der Code behoben wird, bevor er offiziell veröffentlicht wird. Big Sleep ist das Ergebnis einer Zusammenarbeit zwischen Google Project Zero und DeepMind und wird als Upgrade auf die frühe Projektnaptime angesehen.
SQLITE als Open -Source -Datenbank -Engine kann Angreifer dazu veranlassen, böswillig konstruierte Datenbanken oder SQL -Injektionen zu verwenden, wodurch die SQLite -Ausführung zum Absturz oder sogar eine beliebige Codeausführung implementiert wird. Insbesondere ist das Problem aus einem magischen Wert -1, der versehentlich als Array -Index verwendet wird.
Google wies darauf hin, dass die Nutzung dieser Sicherheitsanfälligkeit nicht einfach ist, aber vor allem ist dies das erste Mal, dass AI eine bekannte Verwundbarkeit in der realen Software entdeckt hat. Laut Google findet traditionelle Fuzzing -Methoden dieses Problem nicht, aber großer Schlaf. Nach einer Reihe von Commits, die den Quellcode des Projekts analysierten, sperrte Big Sleep die Verwundbarkeit Anfang Oktober und wurde innerhalb des selben Tags festgelegt.
Google sagte in einer Ankündigung vom 1. November, dass die Forschung ein großes Potenzial für die Verteidigung hat. Während Fuzzing bereits erhebliche Ergebnisse erzielt hat, ist das Google -Team der Ansicht, dass ein neuer Ansatz erforderlich ist, um Entwicklern Schwachstellen zu ermitteln, die durch Fuzzing schwer zu finden sind, und sie sind in dieser Hinsicht voller Erwartungen an die Fähigkeiten der KI.
Zuvor hatte Protect AI in Seattle auch ein Open-Source-Tool namens Vulnhuntr eingeführt, in dem behauptet wurde, dass es das Claude AI-Modell von Anthropic ausnutzen kann, um Zero-Day-Schwachstellen in der Python-Codebasis zu entdecken. Das Google -Team betonte jedoch, dass die beiden Tools unterschiedliche Verwendungszwecke haben, und Big Sleep entdeckte Schwachstellen im Zusammenhang mit der Speichersicherheit.
Derzeit befindet sich Big Sleep noch in der Forschungsphase und wurde hauptsächlich an kleinen Programmen mit bekannten Schwachstellen getestet. Dies ist das erste Mal, dass er ein Experiment in einer realen Umgebung durchführt. Zum Testen sammelte das Forschungsteam mehrere neueste Einreichungen der SQLite -Codebasis und stellte nach der Analyse den sofortigen Inhalt des Modells an und fand schließlich die Verwundbarkeit.
Trotz dieser Leistung erinnert das Google-Team alle daran, dass sich diese Ergebnisse noch in einem sehr experimentellen Stadium befinden, und dass aktuelle zielspezifische Fuzz-Tests bei der Suche nach Anfälligkeiten gleichermaßen effektiv sein können.
Schlüsselpunkte:
** Googles KI -Modell Big Sleep entdeckte zum ersten Mal SQLite Memory Security Schwachstellen. **
** Die Verwundbarkeit wurde vor ihrer offiziellen Veröffentlichung festgelegt und markierte neue Fortschritte in der KI bei der Entdeckung von Schwachstellen. **
** Trotz der Ergebnisse betonte Google, dass die aktuellen Ergebnisse immer noch experimentell sind und die Fuzzing immer noch gültig ist. **
Kurz gesagt, der erfolgreiche Fall von Big Sleep zeigt das Potenzial von KI im Bereich der Software -Sicherheit, erinnert uns jedoch auch daran, dass KI -Tools noch in der Entwicklungsphase stehen und mit traditionellen Methoden kombiniert werden müssen, um eine bessere Rolle zu spielen in Zukunft zu verbessern.