谷歌声称人工智能发现 0-Day 安全漏洞是世界第一

2024-11-05 11:55:00 英文原文

作者:Davey Winder

谷歌的 Big Sleep 团队首次利用人工智能发现了一个零日漏洞。

SOPA 图片/LightRocket 来自 Getty Images

更新,2024 年 11 月 5 日:这篇文章最初于 11 月 4 日发布,现在包含了人工智能深度伪造品使用的研究结果。

人工智能代理在广泛使用的现实软件中发现了一个先前未知的、可利用的零日内存安全漏洞。根据谷歌零号项目和 DeepMind 的说法,这是此类发现的第一个例子,至少是公开的。Big Sleep 是发现该漏洞的大型语言模型辅助漏洞代理的幕后力量。

如果您不知道“零号计划”是什么,也没有对其在安全领域取得的成就感到敬畏,那么您在过去几年中根本就没有关注。这些精英黑客和安全研究人员坚持不懈地努力揭露零日漏洞在 Google 产品及其他产品中。如果您不了解 Google 的人工智能研究实验室 DeepMind,同样会受到缺乏关注的指责。因此,当这两个科技巨头联手创造“Big Sleep”时,势必会引起轰动。

福布斯焦虑如何击败价值 100 亿美元的人工智能 Deepfake 初创公司黑客经过戴维·温德

谷歌使用大型语言模型来捕获现实世界代码中的零日漏洞

在 11 月 1 日的声明中,Google 的零项目博客证实该项目Naptime大语言模型辅助安全漏洞研究框架已经演变成大睡。这项协作工作涉及一些最优秀的道德黑客(作为零号项目的一部分)和最优秀的人工智能研究人员(作为 Google DeepMind 的一部分),开发了一种大型语言模型驱动的代理,可以发现非常真实的安全漏洞在广泛使用的代码中。Big Sleep 团队表示,在这个世界首创的案例中,他们发现了“广泛使用的开源数据库引擎 SQLite 中存在可利用的堆栈缓冲区下溢”。

该零日漏洞于 10 月份向 SQLite 开发团队报告,该团队于当天修复了该漏洞。“我们在正式版本出现之前就发现了这个问题,”Google 的 Big Sleep 团队表示,“因此 SQLite 用户没有受到影响。”

谷歌 Big Sleep 团队表示,人工智能可能是模糊测试的未来

尽管您以前可能没有听说过模糊测试这个术语,但几十年来它一直是安全研究主要内容的一部分。模糊测试涉及使用随机数据来触发代码中的错误。尽管模糊测试的使用被广泛认为是寻找代码漏洞的基本工具,但黑客很容易承认它无法找到所有内容。“我们需要一种方法,可以帮助防御者找到通过模糊测试很难(或不可能)发现的错误,”Big Sleep 团队表示,并补充说,他们希望人工智能能够填补空白并发现 –在软件发布之前就发现软件中的漏洞,几乎没有给攻击者留下攻击的余地。

福布斯新的网络攻击警告 - 确认您不是机器人可能很危险经过戴维·温德

“在一个广泛使用且模糊不清的开源项目中发现漏洞是一个令人兴奋的结果,”Google Big Sleep 团队表示,但承认目前的结果是“高度实验性的”。目前,Big Sleep 代理被认为仅与特定目标模糊器一样有效。然而,不久的将来看起来是光明的。“这项工作将为防御者带来显着的优势,”Google 的 Big Sleep 团队表示,“不仅有可能找到崩溃的测试用例,还有可能提供高质量的根本原因未来的分析、分类和解决问题可能会更便宜、更有效。”

人工智能的另一面可以从 Deepfake 安全威胁中看出

虽然来自 Google 的 Big Sleep 消息令人耳目一新且重要,但 RSA 的一份新报告也同样如此:人工智能如何帮助推动 2025 年消除密码,人工智能安全硬币的另一面也应该始终被考虑。其中一个反面是深度伪造品的使用。我已经介绍了如何Google 支持 Deepfakes 已被用于针对 Gmail 用户的攻击这份报告因种种正当理由而广为流传。现在,福布斯网站的一位读者联系了我,让我了解了一些研究,这些研究旨在衡量人工智能技术如何用于影响公众舆论。再次,我最近对此进行了报道FBI 对 2024 年选举投票视频发出警告这实际上是俄罗斯经销商支持的假货。最新的VPN排名研究非常值得全文阅读,但这里有一些精心挑选的统计数据,肯定能让灰细胞发挥作用。

  • 50% 的受访者多次在网上遇到过深度伪造视频。
  • 37.1% 的人认为深度造假对声誉构成极其严重的威胁,尤其是针对公众人物或普通人制作虚假视频。
  • 人们对深度造假操纵公众舆论的担忧很高,74.3% 的人极度担心在政治或社会背景下可能被滥用。
  • 65.7% 的人认为,竞选期间发布的深度造假可能会影响选民的意见。
  • 41.4% 的人认为,社交媒体平台一旦举报未经同意的深度造假内容,立即删除极其重要。
  • 就 2025 年的预测而言,全球与 Deepfake 相关的身份欺诈尝试预计将达到 50,000 起,超过 80% 的全球选举可能会受到 Deepfake 干扰的影响,威胁民主的完整性。

关注我 叽叽喳喳或 领英。一个 签出 我的 网站或我的一些其他作品 这里。一个 

关于《谷歌声称人工智能发现 0-Day 安全漏洞是世界第一》的评论


暂无评论

发表评论

摘要

谷歌的 Big Sleep 项目是 Project Zero 和 DeepMind 的合作项目,首次使用 AI 发现了 SQLite 中的零日漏洞。可利用的堆栈缓冲区下溢已报告给 SQLite 团队并立即修复,确保不会对用户产生影响。这标志着安全研究的进步,利用大型语言模型来识别传统模糊测试方法之外的漏洞,可能会彻底改变识别和缓解此类威胁的方式。