作者:Davey Winder
更新,2024 年 11 月 5 日:这篇文章最初于 11 月 4 日发布,现在包含了人工智能深度伪造品使用的研究结果。
人工智能代理在广泛使用的现实软件中发现了一个先前未知的、可利用的零日内存安全漏洞。根据谷歌零号项目和 DeepMind 的说法,这是此类发现的第一个例子,至少是公开的。Big Sleep 是发现该漏洞的大型语言模型辅助漏洞代理的幕后力量。
如果您不知道“零号计划”是什么,也没有对其在安全领域取得的成就感到敬畏,那么您在过去几年中根本就没有关注。这些精英黑客和安全研究人员坚持不懈地努力揭露零日漏洞在 Google 产品及其他产品中。如果您不了解 Google 的人工智能研究实验室 DeepMind,同样会受到缺乏关注的指责。因此,当这两个科技巨头联手创造“Big Sleep”时,势必会引起轰动。
福布斯焦虑如何击败价值 100 亿美元的人工智能 Deepfake 初创公司黑客经过戴维·温德
在 11 月 1 日的声明中,Google 的零项目博客证实该项目Naptime大语言模型辅助安全漏洞研究框架已经演变成大睡。这项协作工作涉及一些最优秀的道德黑客(作为零号项目的一部分)和最优秀的人工智能研究人员(作为 Google DeepMind 的一部分),开发了一种大型语言模型驱动的代理,可以发现非常真实的安全漏洞在广泛使用的代码中。Big Sleep 团队表示,在这个世界首创的案例中,他们发现了“广泛使用的开源数据库引擎 SQLite 中存在可利用的堆栈缓冲区下溢”。
该零日漏洞于 10 月份向 SQLite 开发团队报告,该团队于当天修复了该漏洞。“我们在正式版本出现之前就发现了这个问题,”Google 的 Big Sleep 团队表示,“因此 SQLite 用户没有受到影响。”
尽管您以前可能没有听说过模糊测试这个术语,但几十年来它一直是安全研究主要内容的一部分。模糊测试涉及使用随机数据来触发代码中的错误。尽管模糊测试的使用被广泛认为是寻找代码漏洞的基本工具,但黑客很容易承认它无法找到所有内容。“我们需要一种方法,可以帮助防御者找到通过模糊测试很难(或不可能)发现的错误,”Big Sleep 团队表示,并补充说,他们希望人工智能能够填补空白并发现 –在软件发布之前就发现软件中的漏洞,几乎没有给攻击者留下攻击的余地。
福布斯新的网络攻击警告 - 确认您不是机器人可能很危险经过戴维·温德
“在一个广泛使用且模糊不清的开源项目中发现漏洞是一个令人兴奋的结果,”Google Big Sleep 团队表示,但承认目前的结果是“高度实验性的”。目前,Big Sleep 代理被认为仅与特定目标模糊器一样有效。然而,不久的将来看起来是光明的。“这项工作将为防御者带来显着的优势,”Google 的 Big Sleep 团队表示,“不仅有可能找到崩溃的测试用例,还有可能提供高质量的根本原因未来的分析、分类和解决问题可能会更便宜、更有效。”
虽然来自 Google 的 Big Sleep 消息令人耳目一新且重要,但 RSA 的一份新报告也同样如此:人工智能如何帮助推动 2025 年消除密码,人工智能安全硬币的另一面也应该始终被考虑。其中一个反面是深度伪造品的使用。我已经介绍了如何Google 支持 Deepfakes 已被用于针对 Gmail 用户的攻击这份报告因种种正当理由而广为流传。现在,福布斯网站的一位读者联系了我,让我了解了一些研究,这些研究旨在衡量人工智能技术如何用于影响公众舆论。再次,我最近对此进行了报道FBI 对 2024 年选举投票视频发出警告这实际上是俄罗斯经销商支持的假货。最新的VPN排名研究非常值得全文阅读,但这里有一些精心挑选的统计数据,肯定能让灰细胞发挥作用。