10月,谷歌最新的AI项目“Big Sleep”在开源数据库引擎SQLite中发现了一个未公开的、可被利用的内存漏洞并予以修复。这标志着AI在软件安全领域的潜力巨大,甚至有望通过自动化分析和漏洞检测,成为未来网络防御的重要支撑。
该漏洞是SQLite的堆栈缓冲区下溢,当软件在内存缓冲区开始之前引用内存位置,漏洞可能会导致程序崩溃,甚至让攻击者执行任意代码。这一漏洞是在软件正式发布前被发现的,因此没有对SQLite用户造成影响。
Big Sleep是Google Project Zero 和 Google DeepMind 的合作项目,旨在利用大语言模型进行漏洞研究,并且使用专用工具允许代理浏览目标代码库,在安全的沙盒环境里运行 Python 脚本,用来生成模糊测试的输入、调试程序并观察结果。
谷歌认为该项目很有潜力,当前的大模型在处理漏洞变种分析任务时,比在更广泛的开放式漏洞研究中表现更好。专业人士称这项研究充分利用了大模型训练的优势,弥补了模糊测试的一些不足。谷歌同时也强调,这只是实验结果,目前针对特定目标的模糊测试工具在发现漏洞方面也有同样效果。
京公网安备 11010802033237号
