Google”Big Sleep”人工智慧專案發現真實軟體漏洞
據Google研究人員稱,該公司的一個人工智慧專案足夠聰明,能夠自行發現現實世界中的軟體漏洞;Google的人工智慧專案最近在開源資料庫引擎SQLite 中發現了一個之前未知的可利用漏洞。 該公司隨後在正式軟體發布之前報告了這個漏洞,這促使SQLite 在上個月發布了一個修復程式;
Google的安全研究人員週五在一篇部落格文章中寫道:”我們認為,這是人工智慧代理在廣泛使用的現實世界軟體中發現先前未知的可利用記憶體安全問題的首個公開案例。”
越來越多的研究表明,當今的大型語言模型具有發現軟體漏洞的潛力,而這項消息也為科技業在防禦駭客攻擊軟體方面提供了亟需的優勢。
這並不是人工智慧程式第一次發現軟體缺陷。 例如,今年8 月,另一款名為Atlantis 的大型語言模型程式發現了SQLite 中的一個單獨漏洞。 同時,機器學習模型作為人工智慧領域的子集,多年來也被用於發現軟體程式碼中的潛在漏洞;
儘管如此,Google表示,其人工智慧程式所取得的成就表明,大型語言模型有可能在軟體本身發布之前找出更複雜的漏洞。 “該公司的研究人員寫道:”我們認為,這是一條大有可為的道路,可以最終扭轉局面,實現防御者的非對稱優勢;
Google的這個計畫最初被稱為”午睡計畫“,後來被稱為”Big Sleep”,這是一個笑話,說的是該公司的研究人員希望人工智慧程式的能力足以讓Google的人類研究人員在工作中”定期打盹”。
“Big Sleep”特別設計了一些特殊工具,目的是在檢查特定程式的電腦程式碼時”模仿人類安全研究人員的工作流程”。 Google開發Big Sleep 的另一個目的是尋找現有安全漏洞的變種,這些漏洞通常是當今軟體中經常出現的問題,駭客會急於加以利用;
Google研究人員寫道:”最近,我們決定對我們的模型和工具進行測試,在SQLite 上進行了首次廣泛的真實變體分析實驗。這包括讓Big Sleep 查看最近對SQLite 程式碼庫所做的更改。 Google的人工智慧代理能夠透過觸發漏洞並使SQLite 崩潰來進行調查,從而透過根源分析幫助它更好地理解和解釋問題。
“如果提供正確的工具,目前的LLM 可以執行漏洞研究”。 儘管如此,這篇部落格文章承認,一種被稱為”特定目標模糊器”(target-specific fuzzer)的專業漏洞查找工具也可以有效地在SQLite 中找到相同的漏洞。
儘管如此,該公司的研究人員還是得出了結論:「我們希望這項工作將來能為防禦者帶來顯著優勢–不僅有可能找到崩潰的測試案例,還能提供高品質的根本原因分析,將來分流和修復問題的成本會更低,效果會更好。