Google colaboró con DeepMind para descubrir y solucionar con éxito una vulnerabilidad de seguridad de la memoria en la base de datos SQLite utilizando el modelo de IA "Big Sleep". Este es un problema de desbordamiento del búfer de pila que las pruebas fuzz tradicionales no pudieron encontrar, pero Big Sleep lo encontró con éxito. Esta es la primera vez que la IA descubre vulnerabilidades conocidas en software del mundo real, lo que aporta nuevas posibilidades al campo de la seguridad del software y presagia la futura dirección de desarrollo de la detección de seguridad de software asistida por IA. El editor de Downcodes explicará en detalle este avance revolucionario.
SQLite es un motor de base de datos de código abierto. Esta vulnerabilidad puede permitir que un atacante provoque una falla en la ejecución de SQLite o incluso lograr la ejecución de código arbitrario a través de una base de datos construida con fines malintencionados o una inyección de SQL. Específicamente, el problema surge de un valor mágico de -1 que se usa accidentalmente como índice de matriz, y aunque hay afirmar () en el código para detectar este problema, en las versiones de lanzamiento, esta verificación de nivel de depuración se eliminará.
Google señaló que explotar esta vulnerabilidad no es simple, pero lo más importante es que esta es la primera vez que la IA descubre una vulnerabilidad conocida en el software del mundo real. Según Google, los métodos tradicionales de fuzzing no lograron encontrar el problema, pero Big Sleep sí lo hizo. Después de analizar una serie de confirmaciones en el código fuente del proyecto, Big Sleep bloqueó la vulnerabilidad a principios de octubre y se solucionó el mismo día.
Google dijo en un anuncio el 1 de noviembre que el resultado de esta investigación tiene un enorme potencial en defensa. Aunque las pruebas difusas han logrado resultados significativos, el equipo de Google cree que se necesita un nuevo método para ayudar a los desarrolladores a descubrir vulnerabilidades que son difíciles de encontrar mediante pruebas difusas, y están llenos de expectativas sobre las capacidades de la IA en este sentido.
Antes de esto, Protect AI, con sede en Seattle, también lanzó una herramienta de código abierto llamada Vulnhuntr, afirmando que puede usar el modelo Claude AI de Anthropic para encontrar vulnerabilidades de día cero en bases de código Python. Sin embargo, el equipo de Google enfatizó que las dos herramientas tienen propósitos diferentes y que Big Sleep descubrió vulnerabilidades relacionadas con la seguridad de la memoria.
Actualmente, Big Sleep todavía se encuentra en etapa de investigación y se ha probado principalmente en programas pequeños con vulnerabilidades conocidas. Esta es la primera vez que se prueba en un entorno real. Para las pruebas, el equipo de investigación recopiló varias confirmaciones más recientes del código base SQLite y, después del análisis, ajustó el contenido del mensaje del modelo y finalmente encontró la vulnerabilidad.
A pesar de este logro, el equipo de Google recuerda a todos que estos resultados aún son altamente experimentales y que las pruebas fuzz actuales para objetivos específicos pueden ser igualmente efectivas para descubrir vulnerabilidades.
El gran progreso del modelo de inteligencia artificial Big Sleep de Google en el campo de la seguridad del software proporciona nuevas ideas y métodos para la futura detección de la seguridad del software. Aunque todavía se encuentra en la etapa experimental, su potencial es enorme y vale la pena esperarlo. El editor de Downcodes seguirá prestando atención al desarrollo de este campo y le brindará informes más interesantes.