Big Sleep, model AI yang dikembangkan oleh Google Project Zero dalam kolaborasi dengan DeepMind, berhasil menemukan dan memperbaiki kerentanan keamanan memori dalam database SQLite. Ini adalah pertama kalinya AI menemukan kerentanan yang diketahui dalam perangkat lunak dunia nyata, menandai terobosan besar di AI di bidang keamanan perangkat lunak. Dengan menganalisis basis kode SQLITE, Big Sleeps menemukan kerentanan penyangga stack buffer yang tidak terdeteksi oleh tes fuzzing tradisional sebelumnya, dan membantu tim pengembangan untuk memperbaikinya pada waktunya, menghindari potensi risiko keamanan. Prestasi ini menunjukkan potensi besar AI dalam membantu deteksi keamanan perangkat lunak dan memberikan arah baru untuk penelitian keamanan perangkat lunak di masa depan.
Google baru -baru ini mengumumkan bahwa model AI terbaru "Big Sleep" telah berhasil menemukan kerentanan keamanan memori dalam database SQLite. Kerentanan ini adalah masalah penyangga tumpukan yang dapat dieksploitasi, memungkinkan kode untuk diperbaiki sebelum secara resmi dirilis. Big Sleep adalah hasil dari kolaborasi antara Google Project Zero dan DeepMind dan dianggap sebagai peningkatan naptime proyek awal.
SQLITE, sebagai mesin basis data sumber terbuka, dapat menyebabkan penyerang menggunakan basis data yang dibangun dengan jahat atau suntikan SQL, menyebabkan eksekusi SQLite menghancurkan atau bahkan mengimplementasikan eksekusi kode sewenang -wenang. Secara khusus, masalahnya berasal dari nilai ajaib -1 yang secara tidak sengaja digunakan sebagai indeks array.
Google menunjukkan bahwa mengeksploitasi kerentanan ini tidak mudah, tetapi yang lebih penting, ini adalah pertama kalinya AI menemukan kerentanan yang diketahui dalam perangkat lunak dunia nyata. Menurut Google, metode fuzzing tradisional gagal menemukan masalah ini, tetapi tidur yang besar tidak. Setelah serangkaian komit menganalisis kode sumber proyek, Big Sleep mengunci kerentanan pada awal Oktober dan ditetapkan pada hari yang sama.
Google mengatakan dalam pengumuman 1 November bahwa penelitian ini memiliki potensi besar dalam pertahanan. Sementara fuzzing telah mencapai hasil yang signifikan, tim Google percaya bahwa pendekatan baru diperlukan untuk membantu pengembang menemukan kerentanan yang sulit ditemukan melalui fuzzing, dan mereka penuh dengan harapan untuk kemampuan AI dalam hal ini.
Sebelumnya, Protect AI yang berbasis di Seattle juga meluncurkan alat open source yang disebut Vulnhuntr, mengklaim bahwa ia dapat mengeksploitasi model Claude AI Anthropic untuk menemukan kerentanan zero-hari di basis kode Python. Namun, tim Google menekankan bahwa kedua alat memiliki kegunaan yang berbeda, dan tidur besar menemukan kerentanan yang terkait dengan keamanan memori.
Saat ini, Big Sleep masih dalam tahap penelitian dan telah diuji terutama pada program kecil dengan kerentanan yang diketahui. Ini adalah pertama kalinya ia melakukan percobaan di lingkungan nyata. Untuk pengujian, tim peneliti mengumpulkan beberapa pengiriman terbaru dari basis kode SQLite, dan setelah analisis, menyesuaikan konten cepat model, dan akhirnya menemukan kerentanan.
Terlepas dari pencapaian ini, tim Google mengingatkan semua orang bahwa hasil ini masih dalam tahap yang sangat eksperimental, dan bahwa pengujian fuzz khusus tujuan saat ini mungkin sama efektifnya dalam menemukan kerentanan.
Poin -Poin Kunci:
** Model AI Google Big Sleep menemukan kerentanan keamanan memori sqlite untuk pertama kalinya. **
** Kerentanan ditetapkan sebelum rilis resminya, menandai kemajuan baru dalam AI dalam penemuan kerentanan. **
** Terlepas dari hasilnya, Google menekankan bahwa hasil saat ini masih eksperimental dan fuzzing masih valid. **
Singkatnya, kasus Big Sleep yang sukses menunjukkan potensi AI di bidang keamanan perangkat lunak, tetapi juga mengingatkan kita bahwa alat AI masih dalam tahap pengembangan dan perlu dikombinasikan dengan metode tradisional untuk lebih memainkan peran dibutuhkan di masa depan untuk meningkatkan.