Google sagte, es habe eine Zero-Day-Schwachstelle in der Open-Source-Datenbank-Engine SQLite mithilfe seines LLM-gestützten Frameworks namens „Large Language Model“ entdeckt Großer Schlaf (ehemals Project Naptime).
Der Technologieriese beschrieb die Entwicklung als die „erste reale Schwachstelle“, die mithilfe des Agenten der künstlichen Intelligenz (KI) aufgedeckt wurde.
„Wir glauben, dass dies das erste öffentliche Beispiel dafür ist, dass ein KI-Agent ein bisher unbekanntes ausnutzbares Speichersicherheitsproblem in weit verbreiteter realer Software entdeckt“, sagte das Big Sleep-Team in einem Blogbeitrag, der mit The Hacker News geteilt wurde.
Bei der betreffenden Schwachstelle handelt es sich um einen Stapelpufferunterlauf in SQLite, der auftritt, wenn eine Software vor dem Beginn des Speicherpuffers auf einen Speicherort verweist, was zu einem Absturz oder zur Ausführung willkürlichen Codes führt.
„Dies geschieht typischerweise, wenn ein Zeiger oder sein Index auf eine Position vor dem Puffer dekrementiert wird, wenn die Zeigerarithmetik zu einer Position vor dem Beginn des gültigen Speicherorts führt oder wenn ein negativer Index verwendet wird“, heißt es in einer Common Weakness Enumeration (CWE) Beschreibung der Fehlerklasse.
Nach einer verantwortungsvollen Offenlegung wurde der Mangel Anfang Oktober 2024 behoben. Es ist erwähnenswert, dass der Fehler in einem Entwicklungszweig der Bibliothek entdeckt wurde, was bedeutet, dass er markiert wurde, bevor er in eine offizielle Veröffentlichung gelangte.
Das Projekt Naptime wurde erstmals im Juni 2024 von Google als technisches Framework zur Verbesserung automatisierter Schwachstellenerkennungsansätze beschrieben. Seitdem hat sich daraus Big Sleep entwickelt, als Teil einer umfassenderen Zusammenarbeit zwischen Google Project Zero und Google DeepMind.
Bei Big Sleep besteht die Idee darin, einen KI-Agenten zu nutzen, um menschliches Verhalten bei der Identifizierung und Demonstration von Sicherheitslücken zu simulieren, indem die Codeverständnis- und Argumentationsfähigkeiten eines LLM genutzt werden.
Dies erfordert den Einsatz einer Reihe spezialisierter Tools, die es dem Agenten ermöglichen, durch die Zielcodebasis zu navigieren, Python-Skripte in einer Sandbox-Umgebung auszuführen, um Eingaben für Fuzzing zu generieren, das Programm zu debuggen und Ergebnisse zu beobachten.
„Wir glauben, dass diese Arbeit ein enormes Verteidigungspotenzial hat. Schwachstellen in Software zu finden, bevor sie überhaupt veröffentlicht wird, bedeutet, dass es für Angreifer keinen Wettbewerbsspielraum gibt: Die Schwachstellen werden behoben, bevor Angreifer überhaupt die Chance haben, sie zu nutzen“, sagte Google.
Das Unternehmen betonte jedoch auch, dass es sich hierbei noch um experimentelle Ergebnisse handele, und fügte hinzu: „Die Position des Big Sleep-Teams ist, dass es derzeit wahrscheinlich ist, dass ein zielspezifischer Fuzzer mindestens genauso effektiv wäre (bei der Suche nach Schwachstellen).“
Related News :