Big Sleep, модель искусственного интеллекта, разработанная Google Project Zero в сотрудничестве с DeepMind, успешно обнаруженной и исправила уязвимость безопасности памяти в базе данных SQLite. Впервые ИИ обнаружил известные уязвимости в реальном программном обеспечении, что отмечает серьезный прорыв в области ИИ в области безопасности программного обеспечения. Анализируя базу кода SQLite, Big Sleep обнаружил уязвимости буфера -буфера стека, которые ранее не были обнаружены традиционными тестами на пузырь, и помог команде разработчиков исправить его вовремя, избегая потенциальных рисков безопасности. Это достижение демонстрирует огромный потенциал ИИ при оказании помощи в обнаружении программного обеспечения и обеспечивает новое направление для будущих исследований в области безопасности программного обеспечения.
Google недавно объявил, что ее последняя модель искусственного интеллекта «Большой сон» успешно обнаружил уязвимость безопасности памяти в базе данных SQLite. Эта уязвимость представляет собой проблему с подключением буфера стека, позволяющая исправить код до его официального освобождения. Большой сон является результатом сотрудничества между Google Project Zero и DeepMind и рассматривается как обновление до раннего проекта Naptime.
SQLite, как двигатель базы данных с открытым исходным кодом, может привести к тому, что злоумышленники используют злонамеренно построенные базы данных или инъекции SQL, что приведет к выполнению SQLite для сбоя или даже реализации произвольного выполнения кода. В частности, проблема связана с магическим значением -1, которое случайно используется в качестве индекса массива.
Google отметил, что использовать эту уязвимость нелегко, но, что более важно, это первый раз, когда ИИ обнаружил известную уязвимость в реальном программном обеспечении. Согласно Google, традиционные методы пузырьки не могут найти эту проблему, но большой сон. После серии коммитов, анализирующих исходный код проекта, большой сон заблокировал уязвимость в начале октября и был зафиксирован в тот же день.
Гугл сказал в объявлении 1 ноября, что исследование имеет большой потенциал в защите. В то время как Fuzzing уже достигла значительных результатов, команда Google считает, что новый подход необходим для того, чтобы помочь разработчикам обнаружить уязвимости, которые трудно найти в результате пузырька, и они полны ожиданий в отношении возможностей ИИ в этом отношении.
Ранее в Сиэтле AI также запустил инструмент с открытым исходным кодом под названием Vulnhuntr, утверждая, что он может использовать модель Claude AI от Anpropic, чтобы обнаружить уязвимости нулевого дня в базе кода Python. Тем не менее, команда Google подчеркнула, что эти два инструмента имеют разные применения, и большой сон обнаружил уязвимости, связанные с безопасностью памяти.
В настоящее время Big Sleep все еще находится на этапе исследования и был протестирован в основном на небольших программах с известными уязвимостями. Это первый раз, когда он провел эксперимент в реальной среде. Для тестирования исследовательская группа собрала несколько последних представлений о базе кода SQLite, а после анализа скорректировала быстрое содержание модели и, наконец, обнаружила уязвимость.
Несмотря на это достижение, команда Google напоминает всем, что эти результаты по-прежнему находятся на очень экспериментальной стадии, и что текущее тестирование нечеткого пузыря может быть одинаково эффективным в поиске уязвимостей.
Ключевые моменты:
** Google AI Model Big Sleep открыл уязвимости безопасности памяти SQLite в первый раз. **
** Уязвимость была фиксирована до его официального выпуска, отметив новый прогресс в ИИ в обнаружении уязвимости. **
** Несмотря на результаты, Google подчеркнул, что текущие результаты по -прежнему экспериментальны, а пузырь все еще действителен. **
Короче говоря, успешный случай Big Sleep демонстрирует потенциал ИИ в области безопасности программного обеспечения, но также напоминает нам, что инструменты искусственного интеллекта все еще находятся на стадии разработки и должны сочетаться с традиционными методами, чтобы лучше играть роль необходимо в будущем, чтобы улучшить его надежность и эффективность.