详细内容或原文请订阅后点击阅览
Google Big Sleep:人工智能在发现漏洞方面首次超越人类
Google 已经能够弥合机器和传统解决方案之间的差距。
来源:安全实验室新闻频道Google 已经能够弥合机器和传统解决方案之间的差距。
谷歌表示,该公司的人工智能模型首次在现实条件下检测到内存安全漏洞。我们正在谈论在 SQLite 中发现缓冲区溢出的堆栈 - 该漏洞在易受攻击的代码发布之前已得到修复。
谷歌 报告 SQLiteLLM bug 查找工具 Big Sleep 是与 DeepMind 合作开发的。据该公司称,该开发是先前 6 月份推出的 Naptime 项目的演变。
法学硕士SQLite 是一种流行的开源数据库引擎,它遇到了一个可能允许攻击者导致系统崩溃甚至执行任意代码的问题。该漏洞是由于使用值-1作为数组索引时出现错误造成的。程序的调试版本提供了对此类值的检测,但最终版本没有这样的机制。
在最新的测试中,团队收集了 SQLite 存储库的最后几次提交,并手动剔除微小的更改,以指导 AI 分析剩余的数据。结果,在 Gemini 1.5 Pro 上构建的模型显示了与提交更改相关的错误 [1976c3f7]。
[1976c3f7]。攻击者可以通过向受害者提供的特制数据库或通过 SQL 注入来利用该漏洞。不过,谷歌承认该漏洞很难利用。尽管如此,该公司仍认为其人工智能的成功是一个突破。
传统的漏洞检测方法,例如模糊测试,无法发现这个问题。然而,人工智能模型在世界上首次发现了广泛使用的软件中以前未知的漏洞。 Big Sleep 于 10 月初在分析项目源代码的变化时发现了该漏洞,SQLite 开发人员在同一天迅速修复了该漏洞,阻止其进入正式版本。
模糊测试 固定 漏洞已修复