Google berkolaborasi dengan DeepMind berhasil menemukan dan memperbaiki kerentanan keamanan memori di database SQLite menggunakan model AI "Big Sleep". Ini adalah masalah tumpukan buffer underflow yang gagal ditemukan oleh pengujian fuzz tradisional, tetapi Big Sleep berhasil menemukannya. Hal ini menandai pertama kalinya AI menemukan kerentanan yang diketahui dalam perangkat lunak di dunia nyata, menghadirkan kemungkinan-kemungkinan baru di bidang keamanan perangkat lunak dan menandai arah pengembangan deteksi keamanan perangkat lunak yang didukung AI di masa depan. Editor Downcodes akan menjelaskan kemajuan terobosan ini secara rinci.
SQLite adalah mesin database sumber terbuka. Kerentanan ini memungkinkan penyerang menyebabkan eksekusi SQLite terhenti atau bahkan mencapai eksekusi kode arbitrer melalui database yang dibuat secara jahat atau injeksi SQL. Secara khusus, masalahnya berasal dari nilai ajaib -1 yang secara tidak sengaja digunakan sebagai indeks array, dan meskipun ada pernyataan() dalam kode untuk mengatasi masalah ini, dalam versi rilis, pemeriksaan tingkat debug ini akan dihapus.
Google menunjukkan bahwa mengeksploitasi kerentanan ini tidaklah mudah, namun yang lebih penting, ini adalah pertama kalinya AI menemukan kerentanan yang diketahui dalam perangkat lunak di dunia nyata. Menurut Google, metode fuzzing tradisional gagal menemukan masalah tersebut, namun Big Sleep berhasil menemukan masalahnya. Setelah menganalisis serangkaian komitmen dalam kode sumber proyek, Big Sleep mengunci kerentanan pada awal Oktober, dan diperbaiki pada hari yang sama.
Google mengatakan dalam pengumumannya pada 1 November bahwa hasil penelitian ini memiliki potensi pertahanan yang sangat besar. Meskipun pengujian fuzz telah mencapai hasil yang signifikan, tim Google percaya bahwa metode baru diperlukan untuk membantu pengembang menemukan kerentanan yang sulit ditemukan melalui pengujian fuzz, dan mereka sangat mengharapkan kemampuan AI dalam hal ini.
Sebelumnya, Protect AI yang berbasis di Seattle juga meluncurkan alat sumber terbuka yang disebut Vulnhuntr, mengklaim bahwa alat tersebut dapat menggunakan model AI Claude Anthropic untuk menemukan kerentanan zero-day dalam basis kode Python. Namun, tim Google menekankan bahwa kedua alat tersebut memiliki tujuan yang berbeda dan Big Sleep menemukan kerentanan terkait keamanan memori.
Saat ini, Big Sleep masih dalam tahap penelitian dan sebagian besar telah diuji pada program kecil dengan kerentanan yang diketahui. Ini adalah pertama kalinya diuji di lingkungan nyata. Untuk pengujian, tim peneliti mengumpulkan beberapa penerapan terbaru dari basis kode SQLite, dan setelah analisis, menyesuaikan konten prompt model, dan akhirnya menemukan kerentanannya.
Terlepas dari pencapaian ini, tim Google mengingatkan semua orang bahwa hasil ini masih sangat eksperimental dan pengujian fuzz spesifik target saat ini mungkin sama efektifnya dalam menemukan kerentanan.
Kemajuan terobosan model AI Google Big Sleep di bidang keamanan perangkat lunak memberikan ide dan metode baru untuk deteksi keamanan perangkat lunak di masa depan. Meski masih dalam tahap percobaan, namun potensinya sangat besar dan patut dinantikan. Editor Downcodes akan terus memperhatikan perkembangan bidang ini dan memberikan Anda laporan yang lebih menarik.