Google ร่วมมือกับ DeepMind เพื่อค้นหาและแก้ไขช่องโหว่ด้านความปลอดภัยของหน่วยความจำในฐานข้อมูล SQLite ได้สำเร็จโดยใช้โมเดล AI "Big Sleep" นี่เป็นปัญหาสแต็กบัฟเฟอร์อันเดอร์โฟลว์ซึ่งการทดสอบฟัซซี่แบบดั้งเดิมไม่พบ แต่ Big Sleep ค้นพบได้สำเร็จ นี่นับเป็นครั้งแรกที่ AI ได้ค้นพบช่องโหว่ในซอฟต์แวร์ในโลกแห่งความเป็นจริง โดยนำความเป็นไปได้ใหม่ๆ มาสู่ด้านความปลอดภัยของซอฟต์แวร์ และประกาศทิศทางการพัฒนาในอนาคตของการตรวจจับความปลอดภัยของซอฟต์แวร์ที่ได้รับความช่วยเหลือจาก AI บรรณาธิการของ Downcodes จะอธิบายความคืบหน้าที่ก้าวล้ำนี้โดยละเอียด
SQLite เป็นเครื่องมือฐานข้อมูลแบบโอเพ่นซอร์ส ช่องโหว่นี้อาจทำให้ผู้โจมตีทำให้การดำเนินการ SQLite ขัดข้อง หรือแม้กระทั่งบรรลุผลสำเร็จในการเรียกใช้โค้ดโดยอำเภอใจผ่านฐานข้อมูลที่สร้างขึ้นโดยมีเจตนาร้ายหรือการแทรก SQL โดยเฉพาะอย่างยิ่ง ปัญหาเกิดขึ้นจากค่าเวทย์มนตร์ -1 ที่ถูกใช้โดยไม่ได้ตั้งใจเป็นดัชนีอาเรย์ และถึงแม้จะมี assert() ในโค้ดเพื่อตรวจจับปัญหานี้ แต่ใน release build การตรวจสอบระดับการดีบักนี้จะถูกลบออก
Google ชี้ให้เห็นว่าการใช้ประโยชน์จากช่องโหว่นี้ไม่ใช่เรื่องง่าย แต่ที่สำคัญกว่านั้น นี่เป็นครั้งแรกที่ AI ได้ค้นพบช่องโหว่ที่รู้จักในซอฟต์แวร์ในโลกแห่งความเป็นจริง จากข้อมูลของ Google วิธีการคลุมเครือแบบดั้งเดิมล้มเหลวในการค้นหาปัญหา แต่ Big Sleep ทำได้ หลังจากวิเคราะห์ชุดของการคอมมิตในซอร์สโค้ดของโปรเจ็กต์แล้ว Big Sleep ก็ล็อคช่องโหว่ดังกล่าวในช่วงต้นเดือนตุลาคม และได้รับการแก้ไขภายในวันเดียวกัน
Google กล่าวในประกาศเมื่อวันที่ 1 พฤศจิกายนว่าผลการวิจัยนี้มีศักยภาพอย่างมากในการป้องกัน แม้ว่าการทดสอบ Fuzz จะได้รับผลลัพธ์ที่สำคัญ แต่ทีมงาน Google เชื่อว่าจำเป็นต้องมีวิธีการใหม่เพื่อช่วยให้นักพัฒนาค้นพบช่องโหว่ที่ยากต่อการค้นหาผ่านการทดสอบ Fuzz และเต็มไปด้วยความคาดหวังต่อความสามารถของ AI ในเรื่องนี้
ก่อนหน้านี้ Protect AI ในซีแอตเทิลยังได้เปิดตัวเครื่องมือโอเพ่นซอร์สชื่อ Vulnhuntr โดยอ้างว่าสามารถใช้โมเดล Claude AI ของ Anthropic เพื่อค้นหาช่องโหว่แบบซีโรเดย์ในฐานโค้ด Python อย่างไรก็ตาม ทีม Google เน้นย้ำว่าเครื่องมือทั้งสองมีจุดประสงค์ที่แตกต่างกัน และ Big Sleep ค้นพบช่องโหว่ที่เกี่ยวข้องกับความปลอดภัยของหน่วยความจำ
ปัจจุบัน Big Sleep ยังอยู่ในขั้นตอนการวิจัยและได้รับการทดสอบกับโปรแกรมขนาดเล็กที่ทราบช่องโหว่เป็นหลัก นี่เป็นครั้งแรกที่ได้รับการทดสอบในสภาพแวดล้อมจริง สำหรับการทดสอบ ทีมวิจัยได้รวบรวมคอมมิตล่าสุดของฐานโค้ด SQLite และหลังการวิเคราะห์ ได้ปรับเปลี่ยนเนื้อหาพร้อมท์ของโมเดล และในที่สุดก็พบช่องโหว่
แม้ว่าความสำเร็จนี้ ทีมงาน Google ขอเตือนทุกคนว่าผลลัพธ์เหล่านี้ยังอยู่ในขั้นทดลองขั้นสูง และการทดสอบแบบคลุมเครือเฉพาะเป้าหมายในปัจจุบันอาจมีประสิทธิผลเท่าเทียมกันในการค้นหาช่องโหว่
ความก้าวหน้าที่ก้าวหน้าของโมเดล AI Big Sleep ของ Google ในด้านความปลอดภัยของซอฟต์แวร์ ทำให้เกิดแนวคิดและวิธีการใหม่ๆ สำหรับการตรวจจับความปลอดภัยของซอฟต์แวร์ในอนาคต แม้ว่าจะยังอยู่ในขั้นทดลอง แต่ศักยภาพของมันก็มหาศาลและคุ้มค่ากับการรอคอย บรรณาธิการของ Downcodes จะยังคงให้ความสำคัญกับการพัฒนาสาขานี้ต่อไป และนำเสนอรายงานที่น่าตื่นเต้นยิ่งขึ้นให้กับคุณ