Google Project Zero가 DeepMind와 공동으로 개발 한 AI 모델 인 Big Sleep은 SQLITE 데이터베이스에서 메모리 보안 취약점을 성공적으로 발견하고 수정했습니다. AI가 실제 소프트웨어에서 알려진 취약점을 발견 한 것은 이번이 처음으로 소프트웨어 보안 분야에서 AI에서 주요 획기적인 발전을 표시했습니다. SQLITE 코드베이스를 분석함으로써 Big Sleep은 이전에 전통적인 퍼징 테스트로 감지되지 않은 스택 버퍼 언더 플로우 취약점을 발견하고 개발 팀이 잠재적 인 보안 위험을 피하기 위해 시간을 수정하는 데 도움이되었습니다. 이 성과는 소프트웨어 보안 탐지를 지원하는 AI의 큰 잠재력을 보여주고 향후 소프트웨어 보안 연구를위한 새로운 방향을 제공합니다.
Google은 최근 최신 AI 모델 "Big Sleep"이 SQLITE 데이터베이스에서 메모리 보안 취약점을 성공적으로 발견했다고 발표했습니다. 이 취약점은 악용 가능한 스택 버퍼 언더 플로우 문제로 공식적으로 릴리스되기 전에 코드를 수정할 수 있습니다. Big Sleep은 Google Project Zero와 Deepmind 간의 협업 결과이며 초기 프로젝트 낮잠 시간에 대한 업그레이드로 간주됩니다.
오픈 소스 데이터베이스 엔진으로서 SQLITE는 공격자가 악의적으로 구성된 데이터베이스 또는 SQL 주입을 사용하여 SQLITE 실행이 중단되거나 임의의 코드 실행을 구현할 수 있습니다. 구체적으로,이 문제는 실수로 배열 인덱스로 사용되는 Magic Value -1에서 비롯됩니다.
Google 은이 취약점을 악용하는 것이 쉽지는 않지만 더 중요한 것은 AI가 실제 소프트웨어에서 알려진 취약점을 발견 한 것은 이번이 처음입니다. Google에 따르면, 전통적인 퍼징 방법은이 문제를 발견하지 못하지만 큰 수면은 그렇게합니다. 프로젝트의 소스 코드를 분석하는 일련의 커밋 후 Big Sleep은 10 월 초에 취약점을 잠그고 같은 날에 수정되었습니다.
구글은 11 월 1 일 발표 에서이 연구가 방어력이 큰 잠재력을 가지고 있다고 발표했다. 퍼징은 이미 중요한 결과를 얻었지만 Google 팀은 개발자가 퍼지를 통해 찾기 어려운 취약점을 발견 할 수 있도록 새로운 접근 방식이 필요하며 이와 관련하여 AI의 기능에 대한 기대로 가득 차 있다고 생각합니다.
이전에 시애틀에 기반을 둔 Protect AI는 Vulnhuntr이라는 오픈 소스 도구를 시작하여 Anthropic의 Claude AI 모델을 이용하여 Python 코드 기반에서 제로 데이 취약점을 발견 할 수 있다고 주장했습니다. 그러나 Google 팀은 두 도구의 용도가 다르며 Big Sleep은 메모리 보안과 관련된 취약점을 발견했습니다.
현재 Big Sleep은 여전히 연구 단계에 있으며 취약점이 알려진 소규모 프로그램에서 주로 테스트되었습니다. 그가 실제 환경에서 실험을 한 것은 이번이 처음입니다. 테스트를 위해 연구 팀은 SQLITE 코드베이스의 몇 가지 최신 제출물을 수집했으며 분석 후 모델의 신속한 내용을 조정하고 최종적으로 취약점을 찾았습니다.
이러한 성과에도 불구하고 Google 팀은 이러한 결과가 여전히 실험적인 단계에 있으며 현재 목표 별 퍼지 테스트는 취약점을 찾는 데 똑같이 효과적 일 수 있음을 모든 사람들에게 상기시킵니다.
핵심 사항 :
** Google의 AI 모델 Big Sleep은 처음으로 SQLITE 메모리 보안 취약점을 발견했습니다. **
** 취약점은 공식 석방 전에 고정되어 취약성 발견에서 AI의 새로운 진전을 표시했습니다. **
** 결과에도 불구하고 Google은 현재 결과가 여전히 실험적이며 퍼징이 여전히 유효하다고 강조했습니다. **
요컨대, Big Sleep의 성공적인 사례는 소프트웨어 보안 분야에서 AI의 잠재력을 보여 주지만 AI 도구는 여전히 개발 단계에 있으며 더 많은 연구를 수행하기 위해 전통적인 방법과 결합해야합니다 향후에 필요한 신뢰성과 효율성.