Google"Big Sleep"人工智能項目發現真實軟件漏洞

據Google研究人員稱,該公司的一個人工智能項目足夠聰明,能夠自行發現現實世界中的軟件漏洞;Google的人工智能項目最近在開源數據庫引擎 SQLite 中發現了一個之前未知的可利用漏洞。 該公司隨後在正式軟件發佈之前報告了這一漏洞,這促使 SQLite 在上個月發佈了一個修復程序;

Google的安全研究人員週五在一篇博文中寫道:"我們認爲,這是人工智能代理在廣泛使用的現實世界軟件中發現先前未知的可利用內存安全問題的首個公開案例。"

越來越多的研究表明,當今的大型語言模型具有發現軟件漏洞的潛力,而這一消息也爲科技行業在防禦黑客攻擊軟件方面提供了亟需的優勢。

這並不是人工智能程序第一次發現軟件缺陷。 例如,今年 8 月,另一款名爲 Atlantis 的大型語言模型程序發現了SQLite 中的一個單獨漏洞。 與此同時,機器學習模型作爲人工智能領域的一個子集,多年來也被用於發現軟件代碼中的潛在漏洞;

儘管如此,Google表示,其人工智能程序所取得的成就表明,大型語言模型有可能在軟件本身發佈之前找出更復雜的漏洞。"該公司的研究人員寫道:"我們認爲,這是一條大有可爲的道路,可以最終扭轉局面,實現防禦者的非對稱優勢;

Google的這個項目最初被稱爲"午睡項目",後來被稱爲"Big Sleep",這是一個笑話,說的是該公司的研究人員希望人工智能程序的能力足以讓Google的人類研究人員在工作中"定期打盹"。

"Big Sleep"專門設計了一些特殊工具,目的是在檢查特定程序的計算機代碼時"模仿人類安全研究人員的工作流程"。 Google開發 Big Sleep 的另一個目的是尋找現有安全漏洞的變種,這些漏洞通常是當今軟件中經常出現的問題,黑客會急於加以利用;

Google研究人員寫道:"最近,我們決定對我們的模型和工具進行測試,在 SQLite 上進行了首次廣泛的真實變體分析實驗。 這包括讓 Big Sleep 查看最近對 SQLite 代碼庫所做的更改。 Google的人工智能代理能夠通過觸發漏洞並使 SQLite 崩潰來進行調查,從而通過根源分析幫助它更好地理解和解釋問題。"

"如果提供正確的工具,當前的 LLM 可以執行漏洞研究"。 儘管如此,這篇博文承認,一種被稱爲"特定目標模糊器"(target-specific fuzzer)的專業漏洞查找工具也可以有效地在 SQLite 中找到相同的漏洞。

儘管如此,該公司的研究人員還是得出了結論:"我們希望這項工作將來能爲防禦者帶來顯著優勢--不僅有可能找到崩潰的測試用例,還能提供高質量的根本原因分析,將來分流和修復問題的成本會更低,效果會更好。"