Google, şirket araştırmacılarının özellikle bu amaç için tasarladığı bir yapay zeka (AI) aracısını kullanarak gerçek dünyadaki ilk güvenlik açığını keşfetti. Şirketin Big Sleep geniş dil modeli (LLM) projesi tarafından popüler bir açık kaynak veritabanının üretim sürümünde bir bellek güvenliği kusurunun keşfedilmesi türünün ilk örneğidir ve kuruluşlar için “muazzam bir savunma potansiyeline” sahiptir. Big Sleep ekibi yazdı yakın tarihli bir Project Zero blogunda.
Şirketin Project Zero ve Deep Mind grupları arasındaki işbirliğinin çalışması olan Big Sleep, yaygın olarak kullanılan açık kaynaklı bir veritabanı motoru olan SQLite’da istismar edilebilir bir yığın arabellek yetersizliği keşfetti.
Araştırmacılar, özellikle Big Sleep’in, SQLite’ın halka açık bir versiyonunun kodunda, alanı kullanan tüm kodlar tarafından ele alınması gereken potansiyel bir uç durum yaratan bir model keşfettiğini belirtti. Koddaki bir işlev uç durumu doğru bir şekilde ele alamadı, “‘rowid’ sütununda bir kısıtlamayla bir sorgu işlenirken negatif dizinli bir yığın arabelleğine yazmayla sonuçlandı” ve böylece yararlanılabilir bir kusur oluştu. postalamak.
Google, Ekim ayı başında hatayı SQLite geliştiricilerine bildirdi. Sorunu aynı gün içinde ve veri tabanının resmi sürümünde yayınlanmadan önce düzelttiler, böylece kullanıcılar etkilenmedi.
Yapay Zekayla Böcek Avcılığı Eğitmenlerinden İlham Alındı
Big Sleep ekibi gönderide şöyle yazdı: “Bunun, yaygın olarak kullanılan gerçek dünya yazılımlarında önceden bilinmeyen, sömürülebilir bir bellek güvenliği sorunu bulan bir AI aracısının halka açık ilk örneği olduğuna inanıyoruz.” Google, bu doğru olsa da, bunun Yüksek Lisans tabanlı bir muhakeme sisteminin SQLite veritabanı motorunda bağımsız olarak bir kusur bulması ilk kez olmadığını kabul etti.
Team Atlanta adlı bir grup yapay zeka uzmanından Atlantis adlı bir LLM modeli, SQLite3’te altı sıfır gün kusuru keşfetti ve hatta ARPA-H, DARPA ve Beyaz Saray tarafından düzenlenen Yapay Zeka Siber Mücadelesi sırasında bunlardan birini otonom olarak tanımlayıp yamaladı. ekip ortaya çıktı Ağustos ayında bir blog yazısında.
Aslında Big Sleep ekibi, gönderiye göre “daha ciddi bir güvenlik açığı bulup bulamayacağımızı görmek için” yapay zekayı kullanma konusunda onlara ilham vermek amacıyla Team Atlanta’nın SQLite’daki “boş işaretçi referansı” kusuru keşiflerinden birini kullandı. .
Yazılım İncelemesi Bulanıklaştırmanın Ötesine Geçiyor
Google ve diğer yazılım geliştirme ekipleri zaten şu adı verilen bir süreci kullanıyor: bulanıklık testiuygulamalardaki kusurların yayınlanmadan önce bulunmasına yardımcı olmak için halk dilinde “bulanıklaştırma” olarak bilinir. Tüyler ürpertici Yazılımın kasıtlı olarak hatalı biçimlendirilmiş verilerle (veya girdilerle) hedef alınarak çöküp çökmeyeceğini görmek ve böylece nedeni araştırıp düzeltebilmek için yazılımı hedef alan bir yaklaşımdır.
Aslında, Google bu yılın başlarında şunları yayınladı: AI destekli bulanıklaştırma çerçevesi geliştiricilerin ve araştırmacıların yazılımdaki güvenlik açıklarını bulma yöntemlerini geliştirmelerine yardımcı olacak açık kaynaklı bir kaynak olarak. Çerçeve, bulanıklık testinin manuel yönlerini otomatikleştirir ve kod kapsamını artırmak amacıyla projeye özel kod yazmak için LLM’leri kullanır.
Fuzzing, üretim yazılımındaki kusurların sayısını azaltmaya “önemli ölçüde yardımcı olurken” geliştiricilerin, daha önce bulunan ve yamalı hataların çeşitleri gibi “bulunması zor (veya imkansız) olan hataları bu şekilde bulmak için” daha güçlü bir yaklaşıma ihtiyaçları vardır. Big Sleep ekibi güvenlik açıklarını yazdı.
Ekip, gönderide şöyle yazdı: “Bu eğilim devam ettikçe, fuzzing’in bu tür değişkenleri yakalamada başarılı olmadığı ve saldırganlar için manuel değişken analizinin uygun maliyetli bir yaklaşım olduğu açıktır.”
Dahası, değişken analizi mevcut Yüksek Lisans’lar için daha uygun çünkü onlara bir arama için (önceden düzeltilen bir kusurun ayrıntıları gibi) bir başlangıç noktası sağlıyor ve böylece yapay zeka tabanlı güvenlik açığı testindeki birçok belirsizliği ortadan kaldırıyor. Google. Aslında, Yüksek Lisans’ın evriminin bu noktasında, bir arama için bu tür bir başlangıç noktasının bulunmamasının kafa karışıklığına neden olabileceğini belirttiler.
Big Sleep ekibi, “Yapay zekanın bu açığı kapatabileceğini umuyoruz” diye yazdı. “Bunun, sonunda durumu tersine çevirmeye ve defans oyuncuları için asimetrik bir avantaj elde etmeye yönelik umut verici bir yol olduğunu düşünüyoruz.”
Geleceğe Bakış
Google Big Sleep hâlâ araştırma aşamasındadır ve genel olarak yazılım kusurlarını tespit etmek için yapay zeka tabanlı otomasyonun kullanılması yeni bir disiplindir. Ancak geliştiricilerin, genel yayınlanmadan önce yazılım kodundaki güvenlik açıklarını bulma konusunda hızlı bir adım atmak için kullanabileceği araçlar zaten mevcuttur.
Geçtiğimiz ayın sonlarında, Koruma AI’daki araştırmacılar, ücretsiz, açık kaynaklı bir statik kod analiz aracı olan Vulnhuntr’u piyasaya sürdü. sıfır gün güvenlik açıklarını bulabilir Anthropic’i kullanan Python kod tabanlarında Claude yapay zeka (AI) modeli.
Aslında Google’ın keşfi, geliştiricilerin kusurların üretim sürümlerine sızmasına izin vermeden önce yazılımdaki sorunları gidermelerine yardımcı olmak için yapay zeka kullanmanın geleceği açısından umut verici bir ilerleme olduğunu gösteriyor.
Google’ın Big Sleep ekibi, “Yazılımdaki güvenlik açıklarını daha yayınlanmadan bulmak, saldırganların rekabet edebileceği bir alanın olmadığı anlamına gelir: güvenlik açıkları, saldırganlar onları kullanma şansına bile sahip olmadan giderilir” diye yazdı.