企业宣传,产品推广,广告招商,广告投放联系seowdb

严重打破 大模型初次找到 0Day 谷歌 AI 破绽

谷歌公司日前示意,旗下一款名为“Big Sleep”(前称 Project Naptime)的大言语模型(LLM)辅佐框架在 SQLite 开源数据库引擎中发现了一个零日破绽,并称这是该类型AI工具初次在实践宽泛经常使用的软件中发现零日破绽。

SQLite 是一种在开发人员中盛行的开源数据库引擎,所发现的破绽指向其中的堆栈缓冲区下溢,当软件在内存缓冲区开局之前援用内存位置时,就会发生该破绽,从而造成系统解体或恣意代码口头。

谷歌钻研人员在 10 月初向 SQLite 开发人员报告了该破绽,对方在同一天修复了破绽。因为破绽是在正式版本发生之前被发现,因此不会影响正在经常使用SQLite的用户。

发现该破绽的“Big Sleep”AI模型属Google Project Zero 和 Google DeepMind 之间的协作名目,旨在大型言语模型的辅佐下启动破绽钻研。 谷歌指出,在8 月 DEFCON 安保会议上,担任创立 AI 辅佐破绽钻研工具的网络安保钻研人员示意在 SQLite 中发现了另一个疑问,从而激起团队钻研能否可以从中找到更严重的破绽。

通常,许多公司经常使用一种称为“含糊测试”的环节,经过向软件提供随机或有效数据来测试软件,这些数据旨在识别破绽、触发失误或使程序解体。但谷歌以为,含糊测试在协助进攻者找到难以(或无法能)发现的破绽方面做得还不够,宿愿应用人工智能可以增加这一差距。

而常年存在的破绽变体疑问也是“Big Sleep”名目的关键动机之一, 谷歌在 2022 年颁布的报告就曾指出,40% 以上的零日破绽是已报告破绽的变种,另有超越 20% 的破绽也是以前的野外零日破绽的变种。随着这种趋向的继续,含糊测试已无法成功捕捉此类变体,而关于攻打者来说,手动变体剖析成为一种经济高效的方法。

在“Big Sleep”中,钻研人员应用 LLM 的代码了解和推理才干,在识别和演示安保破绽时应用 AI 代理来模拟人类行为,其中须要经常使用一套公用工具来准许代理阅读指标代码库,并在沙盒环境中运转 Python 脚本以生成用于含糊测试的输入、调试程序并观察结果。

“咱们以为这项上班具备渺小的进攻后劲。在软件颁布之前就发现软件中的破绽,象征着攻打者没有竞争的余地:破绽甚至在攻打者无时机经常使用它们之前就被修复了,“谷歌示意。

但谷歌也强调,这些依然是试验结果,“ Big Sleep”钻研团队的立场是,在发现破绽方面,目前特定于指标的含糊测试程序或者至少雷同有效。宿愿在未来,这项上班将为进攻者带来清楚的长处——不只可以找到解体的测试用例,还可以提供高品质的基本要素剖析,分类和修复破绽在未来也或者会更廉价、更有效。

© 版权声明
评论 抢沙发
加载中~
每日一言
不怕万人阻挡,只怕自己投降
Not afraid of people blocking, I'm afraid their surrender