Big Sleep, un modelo de IA desarrollado por Google Project Zero en colaboración con Deepmind, descubierto con éxito y arregló una vulnerabilidad de seguridad de memoria en la base de datos SQLite. Esta es la primera vez que AI descubre vulnerabilidades conocidas en el software del mundo real, marcando un gran avance en la IA en el campo de la seguridad del software. Al analizar la base del código SQLite, las vulnerabilidades de bajo flujo de buffer de pila descubrieron Big Sleep descubrieron que no fueron detectadas por pruebas difusas tradicionales antes, y ayudó al equipo de desarrollo a solucionarlo a tiempo, evitando posibles riesgos de seguridad. Este logro demuestra el enorme potencial de IA para ayudar a la detección de seguridad del software y proporciona una nueva dirección para futuras investigaciones de seguridad de software.
Google anunció recientemente que su último modelo de IA "Big Sleep" ha descubierto con éxito una vulnerabilidad de seguridad de memoria en la base de datos SQLite. Esta vulnerabilidad es un problema de bajo flujo de búfer de pila explotable, lo que permite que el código se solucione antes de que se libere oficialmente. Big Sleep es el resultado de una colaboración entre Google Project Zero y Deepmind y se considera una actualización de la siesta del proyecto temprano.
SQLite, como motor de base de datos de código abierto, puede hacer que los atacantes usen bases de datos o inyecciones de SQL construidas maliciosamente, lo que hace que la ejecución de SQLite se bloquee o incluso implementen la ejecución del código arbitrario. Específicamente, el problema proviene de un valor mágico -1 que se usa accidentalmente como índice de matriz.
Google señaló que explotar esta vulnerabilidad no es fácil, pero lo más importante, esta es la primera vez que la IA descubre una vulnerabilidad conocida en el software del mundo real. Según Google, los métodos confusos tradicionales no encuentran este problema, pero Big Sleep sí. Después de una serie de confirmaciones que analizan el código fuente del proyecto, Big Sleep bloqueó la vulnerabilidad a principios de octubre y se solucionó en el mismo día.
Google dijo en un anuncio del 1 de noviembre que la investigación tiene un gran potencial en defensa. Si bien Fuzzing ya ha logrado resultados significativos, el equipo de Google cree que se necesita un nuevo enfoque para ayudar a los desarrolladores a descubrir vulnerabilidades que son difíciles de encontrar a través de la confusión, y están llenos de expectativas para las capacidades de IA a este respecto.
Anteriormente, Protect AI, con sede en Seattle, también lanzó una herramienta de código abierto llamada Vulnhuntr, alegando que puede explotar el modelo Claude AI de Anthrope para descubrir vulnerabilidades de día cero en la base del código Python. Sin embargo, el equipo de Google enfatizó que las dos herramientas tienen diferentes usos, y un gran sueño descubrió vulnerabilidades relacionadas con la seguridad de la memoria.
Actualmente, Big Sleep todavía está en la etapa de investigación y se ha probado principalmente en pequeños programas con vulnerabilidades conocidas. Esta es la primera vez que realiza un experimento en un entorno real. Para las pruebas, el equipo de investigación recopiló varias presentaciones más recientes de la base del código SQLite, y después del análisis, ajustó el contenido rápido del modelo y finalmente encontró la vulnerabilidad.
A pesar de este logro, el equipo de Google recuerda a todos que estos resultados todavía están en una etapa altamente experimental, y que las pruebas de fuzz específicas de objetivos actuales pueden ser igualmente efectivas para encontrar vulnerabilidades.
Puntos clave:
** El modelo de IA de Google Big Sleep descubrió vulnerabilidades de seguridad de memoria SQLite por primera vez. **
** La vulnerabilidad se solucionó antes de su lanzamiento oficial, marcando un nuevo progreso en IA en el descubrimiento de vulnerabilidad. **
** A pesar de los resultados, Google enfatizó que los resultados actuales siguen siendo experimentales y la confusa sigue siendo válida. **
En resumen, el caso exitoso de Big Sleep demuestra el potencial de la IA en el campo de la seguridad del software, pero también nos recuerda que las herramientas de IA todavía están en la etapa de desarrollo y deben combinarse con métodos tradicionales para desempeñar un papel más importante. necesario en el futuro para mejorar.