2024年11月1日消息,谷歌宣布其大型语言模型(LLM)辅助框架Big Sleep(原名Project Naptime)发现了SQLite开源数据库引擎中的一个0day漏洞。这家科技巨头将这一发现描述为人工智能(AI)代理首次在现实世界中发现的漏洞。
Big Sleep的发现
Big Sleep团队在与The Hacker News分享的博客文章中表示:“我们相信这是第一个公开的例子,AI代理在广泛使用的现实世界软件中发现了一个以前未知的可利用的内存安全问题。”
漏洞详情
所讨论的漏洞是SQLite中的一个栈缓冲区下溢,当软件引用内存缓冲区开始之前的内存位置时,就会导致崩溃或任意代码执行。
根据通用弱点枚举(CWE)对此类漏洞的描述:“这通常发生在指针或其索引减到缓冲区之前的位置,当指针算术导致有效内存位置开始之前的位置,或者使用负索引时。”
负责任的披露
遵循负责任的披露原则,这一缺陷已于2024年10月初得到解决。值得注意的是,这个漏洞是在库的开发分支中发现的,意味着在它进入官方发布之前就被标记出来了。
Big Sleep的背景
Project Naptime最初由谷歌在2024年6月详细说明,作为一个技术框架,旨在改进自动化漏洞发现方法。此后,它发展成为Big Sleep,作为谷歌Project Zero和谷歌DeepMind之间更广泛合作的一部分。
Big Sleep的理念是利用AI代理模拟人类行为,通过利用LLM的代码理解和推理能力来识别和展示安全漏洞。
这涉及到使用一系列专用工具,允许代理浏览目标代码库,在沙箱环境中运行Python脚本以生成模糊测试的输入,并调试程序观察结果。
谷歌的观点
谷歌表示:“我们认为这项工作具有巨大的防御潜力。在软件发布之前发现漏洞,意味着攻击者没有竞争的余地:漏洞在攻击者有机会利用之前就已经被修复。”
然而,公司也强调这些仍然是实验结果,并补充说:“Big Sleep团队的立场是,目前,针对特定目标的模糊测试器至少同样有效(在发现漏洞方面)。”
