O Google colaborou com a DeepMind para descobrir e corrigir com sucesso uma vulnerabilidade de segurança de memória no banco de dados SQLite usando o modelo de IA “Big Sleep”. Este é um problema de estouro de buffer de pilha que o teste fuzz tradicional não conseguiu encontrar, mas o Big Sleep o encontrou com sucesso. Isto marca a primeira vez que a IA descobre vulnerabilidades conhecidas em software do mundo real, trazendo novas possibilidades para o campo da segurança de software e anunciando a futura direção de desenvolvimento da detecção de segurança de software assistida por IA. O editor de Downcodes explicará em detalhes esse progresso revolucionário.
SQLite é um mecanismo de banco de dados de código aberto. Esta vulnerabilidade pode permitir que um invasor cause falha na execução do SQLite ou até mesmo execute código arbitrário por meio de um banco de dados construído com códigos maliciosos ou injeção de SQL. Especificamente, o problema decorre de um valor mágico de -1 sendo usado acidentalmente como um índice de array e, embora haja assert() no código para detectar esse problema, nas compilações de lançamento, essa verificação de nível de depuração será removida.
O Google destacou que explorar esta vulnerabilidade não é simples, mas o mais importante é que esta é a primeira vez que a IA descobre uma vulnerabilidade conhecida em software do mundo real. De acordo com o Google, os métodos tradicionais de difusão não conseguiram encontrar o problema, mas o Big Sleep conseguiu. Depois de analisar uma série de commits no código-fonte do projeto, Big Sleep bloqueou a vulnerabilidade no início de outubro e ela foi corrigida no mesmo dia.
O Google disse em um anúncio em 1º de novembro que o resultado desta pesquisa tem um enorme potencial na defesa. Embora o teste fuzz tenha alcançado resultados significativos, a equipe do Google acredita que é necessário um novo método para ajudar os desenvolvedores a descobrir vulnerabilidades que são difíceis de encontrar por meio do teste fuzz, e eles estão cheios de expectativas quanto às capacidades da IA nesse sentido.
Antes disso, a Protect AI, com sede em Seattle, também lançou uma ferramenta de código aberto chamada Vulnhuntr, alegando que pode usar o modelo Claude AI da Anthropic para encontrar vulnerabilidades de dia zero em bases de código Python. No entanto, a equipe do Google enfatizou que as duas ferramentas têm finalidades diferentes e que o Big Sleep descobriu vulnerabilidades relacionadas à segurança da memória.
Atualmente, o Big Sleep ainda está em fase de pesquisa e foi testado principalmente em pequenos programas com vulnerabilidades conhecidas. Esta é a primeira vez que foi testado em um ambiente real. Para testar, a equipe de pesquisa coletou vários commits mais recentes da base de código SQLite e, após análise, ajustou o conteúdo do prompt do modelo e finalmente encontrou a vulnerabilidade.
Apesar dessa conquista, a equipe do Google lembra a todos que esses resultados ainda são altamente experimentais e que os atuais testes fuzz específicos para alvos podem ser igualmente eficazes na descoberta de vulnerabilidades.
O progresso revolucionário do modelo de IA Big Sleep do Google no campo de segurança de software fornece novas idéias e métodos para futura detecção de segurança de software. Embora ainda esteja em fase experimental, seu potencial é enorme e vale a pena esperar. O editor do Downcodes continuará atento ao desenvolvimento desta área e trazendo para você relatórios mais interessantes.