谷歌表示,它使用其大型语言模型(LLM)辅助框架在 SQLite 开源数据库引擎中发现了一个零日漏洞大睡(以前称为午睡项目)。
这家科技巨头将这一进展描述为使用人工智能(AI)代理发现的“第一个现实世界漏洞”。
Big Sleep 团队表示:“我们相信,这是人工智能代理在广泛使用的现实软件中发现先前未知的可利用内存安全问题的第一个公开示例。”说在与黑客新闻分享的博客文章中。这
脆弱性问题是 SQLite 中的堆栈缓冲区下溢,当某个软件引用内存缓冲区开始之前的内存位置时,就会发生这种情况,从而导致崩溃或任意代码执行。根据常见弱点枚举,“当指针或其索引递减到缓冲区之前的位置时,当指针算术结果位于有效内存位置开始之前的位置时,或者当使用负索引时,通常会发生这种情况”
(CWE)描述bug 类的。
经过负责任的披露后,该缺陷已已解决截至 2024 年 10 月上旬。值得注意的是,该缺陷是在该库的一个开发分支中发现的,这意味着它在正式发布之前就被标记了。
午睡项目是首先详细由 Google 于 2024 年 6 月发布,作为改进自动化漏洞发现方法的技术框架。作为谷歌零号项目和谷歌 DeepMind 之间更广泛合作的一部分,它后来演变成了 Big Sleep。
Big Sleep 的想法是利用法学硕士的代码理解和推理能力,在识别和演示安全漏洞时利用人工智能代理来模拟人类行为。
这需要使用一套专用工具,允许代理浏览目标代码库、在沙盒环境中运行 Python 脚本以生成模糊测试输入、调试程序并观察结果。
谷歌表示:“我们认为这项工作具有巨大的防御潜力。在软件发布之前就发现软件中的漏洞,意味着攻击者没有竞争的余地:这些漏洞在攻击者有机会使用它们之前就已经被修复了。”
然而,该公司也强调,这些仍然是实验结果,并补充说“Big Sleep 团队的立场是,目前,针对特定目标的模糊器可能至少同样有效(在发现漏洞方面)。”