谷歌公司日前表示，旗下一款名為“ Big Sleep”（前稱 Project Naptime）的大語(yǔ)言模型（LLM）輔助框架在 SQLite 開(kāi)源數(shù)據(jù)庫(kù)引擎中發(fā)現(xiàn)了一個(gè)零日漏洞，并稱這是該類型AI工具首次在實(shí)際廣泛使用的軟件中發(fā)現(xiàn)零日漏洞。

SQLite 是一種在開(kāi)發(fā)人員中流行的開(kāi)源數(shù)據(jù)庫(kù)引擎，所發(fā)現(xiàn)的漏洞指向其中的堆棧緩沖區(qū)下溢，當(dāng)軟件在內(nèi)存緩沖區(qū)開(kāi)始之前引用內(nèi)存位置時(shí)，就會(huì)出現(xiàn)該漏洞，從而導(dǎo)致系統(tǒng)崩潰或任意代碼執(zhí)行。

谷歌研究人員在 10 月初向 SQLite 開(kāi)發(fā)人員報(bào)告了該漏洞，對(duì)方在同一天修復(fù)了漏洞。由于漏洞是在正式版本出現(xiàn)之前被發(fā)現(xiàn)，因此不會(huì)影響正在使用SQLite的用戶。

發(fā)現(xiàn)該漏洞的“ Big Sleep”AI模型屬Google Project Zero 和 Google DeepMind 之間的合作項(xiàng)目，旨在大型語(yǔ)言模型的輔助下進(jìn)行漏洞研究。 谷歌指出，在 8 月 DEFCON 安全會(huì)議上，負(fù)責(zé)創(chuàng)建 AI 輔助漏洞研究工具的網(wǎng)絡(luò)安全研究人員表示在 SQLite 中發(fā)現(xiàn)了另一個(gè)問(wèn)題，從而激發(fā)團(tuán)隊(duì)研究是否可以從中找到更嚴(yán)重的漏洞。

通常，許多公司使用一種稱為“模糊測(cè)試”的過(guò)程，通過(guò)向軟件提供隨機(jī)或無(wú)效數(shù)據(jù)來(lái)測(cè)試軟件，這些數(shù)據(jù)旨在識(shí)別漏洞、觸發(fā)錯(cuò)誤或使程序崩潰。但谷歌認(rèn)為，模糊測(cè)試在幫助防御者找到難以（或不可能）發(fā)現(xiàn)的漏洞方面做得還不夠，希望利用人工智能可以縮小這一差距。

而長(zhǎng)期存在的漏洞變體問(wèn)題也是“ Big Sleep”項(xiàng)目的主要?jiǎng)訖C(jī)之一， 谷歌在 2022 年發(fā)布的報(bào)告就曾指出，40% 以上的零日漏洞是已報(bào)告漏洞的變種，另有超過(guò) 20% 的漏洞也是以前的野外零日漏洞的變種。隨著這種趨勢(shì)的持續(xù)，模糊測(cè)試已無(wú)法成功捕獲此類變體，而對(duì)于攻擊者來(lái)說(shuō)，手動(dòng)變體分析成為一種經(jīng)濟(jì)高效的方法。

在“ Big Sleep”中，研究人員利用 LLM 的代碼理解和推理能力，在識(shí)別和演示安全漏洞時(shí)利用 AI 代理來(lái)模擬人類行為，其中需要使用一套專用工具來(lái)允許代理瀏覽目標(biāo)代碼庫(kù)，并在沙盒環(huán)境中運(yùn)行 Python 腳本以生成用于模糊測(cè)試的輸入、調(diào)試程序并觀察結(jié)果。

“我們認(rèn)為這項(xiàng)工作具有巨大的防御潛力。在軟件發(fā)布之前就發(fā)現(xiàn)軟件中的漏洞，意味著攻擊者沒(méi)有競(jìng)爭(zhēng)的余地：漏洞甚至在攻擊者有機(jī)會(huì)使用它們之前就被修復(fù)了，“谷歌表示。

但谷歌也強(qiáng)調(diào)，這些仍然是實(shí)驗(yàn)結(jié)果，“ Big Sleep”研究團(tuán)隊(duì)的立場(chǎng)是，在發(fā)現(xiàn)漏洞方面，目前特定于目標(biāo)的模糊測(cè)試程序可能至少同樣有效。希望在未來(lái)，這項(xiàng)工作將為防御者帶來(lái)顯著的優(yōu)勢(shì)——不僅可以找到崩潰的測(cè)試用例，還可以提供高質(zhì)量的根本原因分析，分類和修復(fù)漏洞在未來(lái)也可能會(huì)更便宜、更有效。