谷歌使用大语言模型发现了现实中的 SQLite 软件漏洞
Google Project Zero 和 Google DeepMind 的 AI 智能体最近在开源数据库引擎 SQLite 中发现了一个之前未知且可利用的漏洞。该公司在正式发布之前报告了该漏洞,这促使 SQLite 发布了修复。安全研究人员写道,“我们相信这是 AI 智能体在广泛使用的现实世界软件中发现之前未知的可利用内存安全问题的第一个公开例子。”该案例还表明 AI 比自动化测试工具和人类安全研究人员在发现未知漏洞方面更高效。
谷歌的这个项目最初被称为“午睡计划”,后来更名为“Big Sleep”,研究人员希望 AI 能够变得足够强大,让人类研究人员在工作中“经常小睡”。Big Sleep 专门设计了特殊工具,旨在“模仿人类安全研究人员的工作流程”,以检查程序代码发现未知漏洞。该模型还可以寻找现有安全漏洞的变体,以举一反三的形式发现常见漏洞。
—— 谷歌博客