Big Sleep แบบจำลอง AI ที่พัฒนาโดย Google Project Zero โดยความร่วมมือกับ DeepMind ค้นพบได้สำเร็จและแก้ไขช่องโหว่ความปลอดภัยของหน่วยความจำในฐานข้อมูล SQLite นี่เป็นครั้งแรกที่ AI ได้ค้นพบช่องโหว่ที่รู้จักกันในซอฟต์แวร์ในโลกแห่งความเป็นจริงซึ่งเป็นความก้าวหน้าครั้งสำคัญใน AI ในด้านความปลอดภัยของซอฟต์แวร์ ด้วยการวิเคราะห์ฐานรหัส SQLite การนอนหลับขนาดใหญ่ค้นพบช่องโหว่ของสแต็คบัฟเฟอร์ที่ไม่ได้ตรวจพบโดยการทดสอบแบบฟัซซิ่งแบบดั้งเดิมมาก่อนและช่วยทีมพัฒนาในการแก้ไขในเวลาหลีกเลี่ยงความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น ความสำเร็จนี้แสดงให้เห็นถึงศักยภาพที่ยิ่งใหญ่ของ AI ในการช่วยเหลือการตรวจจับความปลอดภัยของซอฟต์แวร์และให้ทิศทางใหม่สำหรับการวิจัยความปลอดภัยซอฟต์แวร์ในอนาคต
Google เพิ่งประกาศว่ารุ่น AI ล่าสุด "Big Sleep" ได้ค้นพบช่องโหว่ความปลอดภัยของหน่วยความจำในฐานข้อมูล SQLite ได้สำเร็จ ช่องโหว่นี้เป็นปัญหาสแต็คบัฟเฟอร์ที่ใช้ประโยชน์ได้ซึ่งช่วยให้รหัสได้รับการแก้ไขก่อนที่จะถูกปล่อยออกมาอย่างเป็นทางการ Big Sleep เป็นผลมาจากการทำงานร่วมกันระหว่าง Google Project Zero และ DeepMind และได้รับการยกย่องว่าเป็นการอัพเกรดเป็น Project Naptime ก่อน
SQLite ในฐานะเอ็นจิ้นฐานข้อมูลโอเพนซอร์สอาจทำให้ผู้โจมตีใช้ฐานข้อมูลที่สร้างขึ้นอย่างเป็นอันตรายหรือการฉีด SQL ทำให้การดำเนินการของ SQLite เกิดความผิดพลาดหรือแม้แต่ใช้การดำเนินการรหัสโดยพลการ โดยเฉพาะปัญหาเกิดขึ้นจากค่าเวทย์มนตร์ -1 ที่ใช้โดยไม่ตั้งใจเป็นดัชนีอาร์เรย์
Google ชี้ให้เห็นว่าการใช้ประโยชน์จากช่องโหว่นี้ไม่ใช่เรื่องง่าย แต่ที่สำคัญกว่านั้นนี่เป็นครั้งแรกที่ AI ได้ค้นพบช่องโหว่ที่รู้จักในซอฟต์แวร์ในโลกแห่งความเป็นจริง จากข้อมูลของ Google วิธีการฟุ่มเฟือยแบบดั้งเดิมไม่สามารถหาปัญหานี้ได้ แต่การนอนหลับครั้งใหญ่ทำได้ หลังจากการวิเคราะห์ซอร์สโค้ดของโครงการ Big Sleep ล็อคช่องโหว่ในต้นเดือนตุลาคมและได้รับการแก้ไขภายในวันเดียวกัน
Google กล่าวในการประกาศเมื่อวันที่ 1 พฤศจิกายนว่าการวิจัยมีศักยภาพที่ดีในการป้องกัน ในขณะที่การฟัซซิ่งได้รับผลลัพธ์ที่สำคัญอยู่แล้วทีม Google เชื่อว่าจำเป็นต้องมีวิธีการใหม่เพื่อช่วยให้นักพัฒนาค้นพบช่องโหว่ที่ยากต่อการค้นหาผ่านการฟาดและพวกเขาเต็มไปด้วยความคาดหวังสำหรับความสามารถของ AI ในเรื่องนี้
ก่อนหน้านี้ Protect AI ในซีแอตเทิลยังได้เปิดตัวเครื่องมือโอเพ่นซอร์สที่เรียกว่า Vulnhuntr โดยอ้างว่าสามารถใช้ประโยชน์จากโมเดล Claude AI ของมานุษยวิทยาเพื่อค้นหาช่องโหว่ที่ไม่มีวันเป็นศูนย์ในฐานรหัส Python อย่างไรก็ตามทีม Google เน้นว่าเครื่องมือทั้งสองมีการใช้งานที่แตกต่างกันและการนอนหลับขนาดใหญ่ค้นพบช่องโหว่ที่เกี่ยวข้องกับความปลอดภัยของหน่วยความจำ
ปัจจุบัน Big Sleep ยังอยู่ในขั้นตอนการวิจัยและได้รับการทดสอบเป็นหลักในโปรแกรมขนาดเล็กที่มีช่องโหว่ที่รู้จัก นี่เป็นครั้งแรกที่เขาได้ทำการทดลองในสภาพแวดล้อมจริง สำหรับการทดสอบทีมวิจัยได้รวบรวมการส่งล่าสุดของฐานรหัส SQLite และหลังการวิเคราะห์ปรับเนื้อหาที่รวดเร็วของแบบจำลองและในที่สุดก็พบช่องโหว่
แม้จะมีความสำเร็จนี้ทีม Google เตือนทุกคนว่าผลลัพธ์เหล่านี้ยังอยู่ในขั้นตอนการทดลองสูงและการทดสอบฟัซซี่เฉพาะเป้าหมายในปัจจุบันอาจมีประสิทธิภาพเท่าเทียมกันในการค้นหาช่องโหว่
ประเด็นสำคัญ:
** AI Model Big Sleep ของ Google ค้นพบช่องโหว่ความปลอดภัยของหน่วยความจำ SQLite เป็นครั้งแรก -
** ช่องโหว่ได้รับการแก้ไขก่อนที่จะเปิดตัวอย่างเป็นทางการทำเครื่องหมายความคืบหน้าใหม่ใน AI ในการค้นพบช่องโหว่ -
** แม้จะมีผลลัพธ์ แต่ Google ก็เน้นว่าผลลัพธ์ปัจจุบันยังคงทดลองและฟัซซิ่งยังคงถูกต้อง -
ในระยะสั้นกรณีที่ประสบความสำเร็จของ Big Sleep แสดงให้เห็นถึงศักยภาพของ AI ในด้านความปลอดภัยของซอฟต์แวร์ แต่ก็ยังเตือนเราว่าเครื่องมือ AI ยังคงอยู่ในขั้นตอนการพัฒนาและต้องรวมกับวิธีการดั้งเดิมเพื่อให้มีบทบาทมากขึ้น จำเป็นในอนาคตเพื่อปรับปรุง