Big Sleep, un modèle d'IA développé par Google Project Zero en collaboration avec DeepMind, découvert avec succès et a fixé une vulnérabilité de sécurité de la mémoire dans la base de données SQLite. C'est la première fois que l'IA découvre les vulnérabilités connues dans les logiciels du monde réel, marquant une percée majeure dans l'IA dans le domaine de la sécurité des logiciels. En analysant la base de code SQLite, Big Sleep a découvert des vulnérabilités de sous-écoulement du tampon de pile qui n'ont pas été détectées par des tests de fuzzage traditionnels auparavant, et aidé l'équipe de développement à le réparer à temps, en évitant les risques de sécurité potentiels. Cette réalisation démontre l'énorme potentiel de l'IA dans l'assistance à la détection de la sécurité des logiciels et fournit une nouvelle orientation pour les futures recherches sur la sécurité des logiciels.
Google a récemment annoncé que son dernier modèle d'IA "Big Sleep" a découvert avec succès une vulnérabilité de sécurité de la mémoire dans la base de données SQLite. Cette vulnérabilité est un problème de sous-flux de tampon de pile exploitable, ce qui permet de résoudre le code avant d'être officiellement libéré. Big Sleep est le résultat d'une collaboration entre Google Project Zero et DeepMind et est considéré comme une mise à niveau vers la sieste au premier projet.
SQLITE, en tant que moteur de base de données open source, peut amener les attaquants à utiliser des bases de données ou des injections SQL construites avec malveillance, ce qui a provoqué une exécution de SQLite ou même implémenter l'exécution de code arbitraire. Plus précisément, le problème découle d'une valeur magique -1 utilisée accidentellement comme index du tableau.
Google a souligné que l'exploitation de cette vulnérabilité n'est pas facile, mais plus important encore, c'est la première fois que l'IA découvre une vulnérabilité connue dans les logiciels du monde réel. Selon Google, les méthodes de fuzzing traditionnelles ne trouvent pas ce problème, mais le grand sommeil le fait. Après une série de commits analysant le code source du projet, Big Sleep a verrouillé la vulnérabilité début octobre et a été fixé dans le même jour.
Google a déclaré dans une annonce du 1er novembre que la recherche avait un grand potentiel en défense. Bien que le fuzzing ait déjà obtenu des résultats significatifs, l'équipe Google estime qu'une nouvelle approche est nécessaire pour aider les développeurs à découvrir des vulnérabilités difficiles à trouver à travers le fuzzing, et ils sont pleins d'attentes pour les capacités de l'IA à cet égard.
Auparavant, Protect AI, basé à Seattle, a également lancé un outil open source appelé VulnHunttr, affirmant qu'il peut exploiter le modèle Claude AI d'Anthropic pour découvrir des vulnérabilités de jour zéro dans la base de code Python. Cependant, l'équipe Google a souligné que les deux outils ont des utilisations différentes, et Big Sleep a découvert des vulnérabilités liées à la sécurité de la mémoire.
Actuellement, le grand sommeil est toujours au stade de la recherche et a été testé principalement sur de petits programmes avec des vulnérabilités connues. C'est la première fois qu'il met une expérience dans un environnement réel. Pour les tests, l'équipe de recherche a collecté plusieurs dernières soumissions de la base de code SQLite et, après analyse, a ajusté le contenu rapide du modèle et a finalement trouvé la vulnérabilité.
Malgré cette réalisation, l'équipe de Google rappelle à tout le monde que ces résultats sont toujours à un stade très expérimental, et que les tests de fuzz spécifiques à l'objectif actuels peuvent être tout aussi efficaces pour trouver des vulnérabilités.
Points clés:
** Le modèle AI de Google Big Sleep a découvert les vulnérabilités de sécurité de la mémoire SQLite pour la première fois. **
** La vulnérabilité a été fixée avant sa sortie officielle, marquant de nouveaux progrès dans l'IA dans la découverte de vulnérabilité. **
** Malgré les résultats, Google a souligné que les résultats actuels sont toujours expérimentaux et que le fuzzing est toujours valide. **
En bref, le cas réussi de Big Sleep montre le potentiel de l'IA dans le domaine de la sécurité des logiciels, mais cela nous rappelle également que les outils d'IA sont toujours au stade de développement et doivent être combinés avec des méthodes traditionnelles pour mieux jouer un rôle. nécessaire à l'avenir pour s'améliorer.