利用 AI 來自動化漏洞檢測的技術發展快速,Google 最近就宣稱,其 AI 工具 Big Sleep 以成為首個 AI 於實際場景發現連模糊測試都無法找出的安全漏洞。
Big Sleep 是由 Google 的 Project Zero 和 DeepMind 合作開發的工具,是 Project Naptime 的進階版本,可以透過大型自然語言模型協助工程師找出程式碼中的漏洞。今次 Big Sleep 發現的漏洞為開源數據庫引擎 SQLite 中的一個堆疊緩衝區下零日溢洞,這個漏洞可能容許攻擊者造成系統當機或執行任意程式碼。
目前 SQLite 的測試基礎設施,或是 OSS-Fuzz 都沒有發現該漏洞,SQLite 方面收到 Google 通知後,已經作出修補,因此正式版本並沒有含有漏洞。
據 Google 表示,這是 AI 首次在廣泛使用的真實世界軟件中發現先前未知的可利用記憶體安全漏洞。Big Sleep 團隊強調,這個項目具有巨大的潛力。雖然模糊測試對尋找漏洞有所幫助,但開發人員需要一種方法來發現難以或無法透過模糊測試找到的漏洞。