O Google disse que descobriu uma vulnerabilidade de dia zero no mecanismo de banco de dados de código aberto SQLite usando sua estrutura assistida por modelo de linguagem grande (LLM) chamada Grande sono (anteriormente Projeto Naptime).
A gigante da tecnologia descreveu o desenvolvimento como a “primeira vulnerabilidade do mundo actual” descoberta usando o agente de inteligência synthetic (IA).
“Acreditamos que este é o primeiro exemplo público de um agente de IA que encontra um problema de segurança de memória explorável anteriormente desconhecido em software program amplamente utilizado no mundo actual”, disse a equipe do Massive Sleep em uma postagem de weblog compartilhada com o The Hacker Information.
A vulnerabilidade em questão é um estouro de buffer de pilha no SQLite, que ocorre quando um software program faz referência a um native de memória antes do início do buffer de memória, resultando em uma falha ou execução arbitrária de código.
“Isso normalmente ocorre quando um ponteiro ou seu índice é decrementado para uma posição antes do buffer, quando a aritmética do ponteiro resulta em uma posição antes do início do native de memória válido ou quando um índice negativo é usado”, de acordo com um Frequent Weak point Enumeration (CWE) descrição da classe de bug.
Após divulgação responsável, a falha foi corrigida no início de outubro de 2024. É importante notar que a falha foi descoberta em um ramo de desenvolvimento da biblioteca, o que significa que foi sinalizada antes de ser lançada oficialmente.
O Projeto Naptime foi detalhado pela primeira vez pelo Google em junho de 2024 como uma estrutura técnica para melhorar abordagens automatizadas de descoberta de vulnerabilidades. Desde então, evoluiu para Massive Sleep, como parte de uma colaboração mais ampla entre o Google Mission Zero e o Google DeepMind.
Com o Massive Sleep, a ideia é aproveitar um agente de IA para simular o comportamento humano ao identificar e demonstrar vulnerabilidades de segurança, aproveitando as habilidades de compreensão e raciocínio de código de um LLM.
Isso envolve o uso de um conjunto de ferramentas especializadas que permitem ao agente navegar pela base de código de destino, executar scripts Python em um ambiente de área restrita para gerar entradas para difusão, depurar o programa e observar os resultados.
“Achamos que este trabalho tem um tremendo potencial defensivo. Encontrar vulnerabilidades em software program antes mesmo de ser lançado significa que não há espaço para os invasores competirem: as vulnerabilidades são corrigidas antes mesmo que os invasores tenham an opportunity de usá-las”, disse o Google.
A empresa, no entanto, também enfatizou que estes resultados ainda são experimentais, acrescentando que “a posição da equipe Massive Sleep é que, no momento, é provável que um fuzzer específico para um alvo seja pelo menos tão eficaz (na descoberta de vulnerabilidades)”.
