Google hat mit DeepMind zusammengearbeitet, um mithilfe des KI-Modells „Big Sleep“ erfolgreich eine Speichersicherheitslücke in der SQLite-Datenbank zu entdecken und zu beheben. Hierbei handelt es sich um ein Problem mit dem Unterlauf des Stapelpuffers, das herkömmliche Fuzz-Tests nicht finden konnten, aber Big Sleep hat es erfolgreich gefunden. Dies ist das erste Mal, dass KI bekannte Schwachstellen in realer Software entdeckt, was neue Möglichkeiten für den Bereich der Softwaresicherheit eröffnet und die zukünftige Entwicklungsrichtung der KI-gestützten Softwaresicherheitserkennung ankündigt. Der Herausgeber von Downcodes wird diesen bahnbrechenden Fortschritt im Detail erläutern.
SQLite ist eine Open-Source-Datenbank-Engine. Diese Schwachstelle kann es einem Angreifer ermöglichen, einen Absturz der SQLite-Ausführung zu verursachen oder sogar die Ausführung willkürlichen Codes durch eine in böser Absicht erstellte Datenbank oder SQL-Injection zu erreichen. Konkret ist das Problem darauf zurückzuführen, dass versehentlich ein magischer Wert von -1 als Array-Index verwendet wurde, und obwohl es im Code die Funktion „assert()“ gibt, um dieses Problem abzufangen, wird diese Debug-Level-Prüfung in Release-Builds entfernt.
Google wies darauf hin, dass die Ausnutzung dieser Schwachstelle nicht einfach sei, aber was noch wichtiger sei, es sei das erste Mal, dass KI eine bekannte Schwachstelle in realer Software entdeckt habe. Laut Google konnten herkömmliche Fuzzing-Methoden das Problem nicht finden, Big Sleep hingegen schon. Nach der Analyse einer Reihe von Commits im Quellcode des Projekts schloss Big Sleep die Schwachstelle Anfang Oktober und sie wurde noch am selben Tag behoben.
Google sagte in einer Ankündigung vom 1. November, dass dieses Forschungsergebnis großes Potenzial für die Verteidigung habe. Obwohl Fuzz-Tests bedeutende Ergebnisse erzielt haben, ist das Google-Team davon überzeugt, dass eine neue Methode erforderlich ist, um Entwicklern dabei zu helfen, Schwachstellen zu entdecken, die durch Fuzz-Tests schwer zu finden sind, und sie sind voller Erwartungen an die Fähigkeiten der KI in dieser Hinsicht.
Zuvor brachte das in Seattle ansässige Unternehmen Protect AI auch ein Open-Source-Tool namens Vulnhuntr auf den Markt und behauptete, es könne das Claude AI-Modell von Anthropic verwenden, um Zero-Day-Schwachstellen in Python-Codebasen zu finden. Das Google-Team betonte jedoch, dass die beiden Tools unterschiedlichen Zwecken dienten und Big Sleep Schwachstellen im Zusammenhang mit der Speichersicherheit entdeckt habe.
Derzeit befindet sich Big Sleep noch im Forschungsstadium und wurde hauptsächlich an kleinen Programmen mit bekannten Schwachstellen getestet. Dies ist das erste Mal, dass es in einer realen Umgebung getestet wurde. Zum Testen sammelte das Forschungsteam mehrere aktuelle Commits der SQLite-Codebasis, passte nach der Analyse den Eingabeaufforderungsinhalt des Modells an und fand schließlich die Schwachstelle.
Trotz dieses Erfolgs erinnert das Google-Team alle daran, dass diese Ergebnisse noch sehr experimentell sind und aktuelle zielspezifische Fuzz-Tests bei der Entdeckung von Schwachstellen gleichermaßen effektiv sein können.
Der bahnbrechende Fortschritt von Googles KI-Modell Big Sleep im Bereich Softwaresicherheit liefert neue Ideen und Methoden für die zukünftige Erkennung von Softwaresicherheit. Obwohl es sich noch im experimentellen Stadium befindet, ist sein Potenzial riesig und es lohnt sich, darauf zu warten. Der Herausgeber von Downcodes wird die Entwicklung dieses Bereichs weiterhin aufmerksam verfolgen und Ihnen weitere spannende Berichte bringen.