导 读
谷歌表示,大型语言模型 (LLM) 项目能够发现 SQLite 中的一个漏洞,而其研究人员无法使用传统的模糊测试发现相同的漏洞。
谷歌在 6 月份公布了Naptime 项目的细节,该项目旨在评估 LLM 的攻击性安全能力。Naptime 后来演变为一个名为 Big Sleep 的项目,这是谷歌的 Project Zero 和 DeepMind 团队合作的成果。
周五,谷歌宣布,仍处于研究阶段的 Big Sleep LLM 代理成功发现了其第一个真实漏洞,即 SQLite 开源数据库引擎中可利用的基于堆栈的缓冲区溢出。
该问题于 10 月初被发现,SQLite 开发人员在披露后数小时内就修复了该问题。用户不会受到威胁,因为该漏洞是在尚未正式发布的代码中发现的。
据谷歌称,这是一个值得注意的发现,人工智能代理在现实世界的软件中发现可利用的内存安全问题的第一个例子。
通过要求 Big Sleep 代理检查最近的代码提交并尝试找到与作为起点提供给代理的最近修补的漏洞类似的安全问题,发现了 SQLite 漏洞。
谷歌发布的博客文章描述了人工智能在发现 SQLite 漏洞之前所采取的步骤。
谷歌的研究人员随后尝试使用模糊测试来识别相同的漏洞,但即使经过 150 个 CPU 小时的模糊测试,仍未发现该漏洞。该公司指出,几年前其 AFL 模糊测试器在查找 SQLite 错误方面非常有效,但现在“似乎该工具已达到顶点”。
谷歌表示:“如果配备正确的工具,目前的 LLM 可以进行漏洞研究。但是,我们想重申,这些都是高度实验性的结果。Big Sleep 团队的立场是,目前,针对特定目标的模糊测试器可能至少同样有效(在发现漏洞方面)。”
人工智能在网络安全行业中的应用越来越广泛,包括用于软件漏洞研究。上周,威胁情报公司 GreyNoise 称赞一款人工智能工具能够发现广泛部署的物联网摄像头中存在的关键漏洞。
谷歌并不是唯一一家使用 LLM 查找漏洞的公司。人工智能安全公司 Protect AI 开发了一种静态代码分析器,利用 LLM 来检测和解释复杂、多步骤的漏洞。
谷歌官方博客:https://googleprojectzero.blogspot.com/2024/10/from-naptime-to-big-sleep.html
新闻链接:
https://www.securityweek.com/google-says-its-ai-found-sqlite-vulnerability-that-fuzzing-missed/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):谷歌称其人工智能发现了模糊测试遗漏的 SQLite 漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论