I ricercatori di Google hanno dichiarato venerdì di aver scoperto la prima vulnerabilità utilizzando un modello linguistico di grandi dimensioni.
In un post sul blog, Google ha affermato di ritenere che il bug sia il primo esempio pubblico di uno strumento di intelligenza artificiale che rileva un problema di sicurezza della memoria sfruttabile precedentemente sconosciuto in un software ampiamente utilizzato nel mondo reale.
La vulnerabilità è stata rilevata in SQLite, un motore di database open Source popolare tra gli sviluppatori.
I ricercatori di Google hanno segnalato la vulnerabilità agli sviluppatori SQLite all'inizio di ottobre, che l'hanno risolta lo stesso giorno. Il problema è stato riscontrato prima che apparisse in una versione ufficiale e non ha avuto alcun impatto sugli utenti SQLite. Google ha salutato lo sviluppo come un esempio dell’“immenso potenziale che l’intelligenza artificiale può avere per i difensori informatici”.
“Pensiamo che questo lavoro abbia un enorme potenziale difensivo”, hanno detto i ricercatori di Google. “Trovare vulnerabilità nel software prima ancora che venga rilasciato significa che gli aggressori non hanno spazio per competere: le vulnerabilità vengono risolte prima ancora che gli aggressori abbiano la possibilità di utilizzarle.”
L'iniziativa fa parte di un progetto chiamato Big Sleep, che è una collaborazione tra Google Project Zero e Google DeepMind. Si è evoluto da un progetto passato che ha iniziato a lavorare sulla ricerca sulla vulnerabilità assistita da ampi modelli linguistici.
Google ha osservato che alla conferenza sulla sicurezza DEFCON di agosto, i ricercatori di sicurezza informatica incaricati di creare strumenti di ricerca sulle vulnerabilità assistiti dall’intelligenza artificiale hanno scoperto un altro problema in SQLite che ha ispirato il loro team a vedere se potevano trovare una vulnerabilità più grave.
Varianti fuzzy
Molte aziende come Google utilizzano un processo chiamato “fuzzing” in cui il software viene testato fornendogli dati casuali o non validi progettati per identificare vulnerabilità, attivare errori o mandare in crash il programma.
Ma Google ha affermato che il fuzzing non fa abbastanza per “aiutare i difensori a trovare i bug difficili (o impossibili) da trovare”, aggiungendo che “sperano che l’intelligenza artificiale possa ridurre questo divario”.
“Riteniamo che questo sia un percorso promettente per ribaltare finalmente la situazione e ottenere un vantaggio asimmetrico per i difensori”, hanno affermato.
“La vulnerabilità in sé è piuttosto interessante, insieme al fatto che l'infrastruttura di test esistente per SQLite (sia tramite OSS-Fuzz, sia l'infrastruttura stessa del progetto) non ha rilevato il problema, quindi abbiamo svolto ulteriori indagini.”
Google ha affermato che una delle principali motivazioni per Big Sleep è il problema persistente delle varianti di vulnerabilità. Uno dei problemi più preoccupanti riscontrati da Google nel 2022 è stato il fatto che oltre il 40% degli zero-day rilevati erano varianti di vulnerabilità già segnalate.
Oltre il 20% dei bug erano varianti dei precedenti zero-day presenti in natura, hanno aggiunto i ricercatori.
Google ha affermato che continua a scoprire exploit per varianti di vulnerabilità precedentemente trovate e risolte.
“Mentre questa tendenza continua, è chiaro che il fuzzing non riesce a catturare tali varianti e che per gli aggressori l'analisi manuale delle varianti è un approccio economicamente vantaggioso”, hanno affermato i ricercatori.
“Riteniamo inoltre che questo compito di analisi delle varianti sia più adatto agli attuali LLM rispetto al più generale problema di ricerca sulle vulnerabilità a tempo indeterminato. Fornendo un punto di partenza, ad esempio i dettagli di una vulnerabilità precedentemente corretta, rimuoviamo molte ambiguità dalla ricerca sulle vulnerabilità e partiamo da una teoria concreta e ben fondata: “Questo era un bug precedente; probabilmente ce n’è un altro simile da qualche parte.'”
Il progetto è ancora nelle fasi iniziali e per valutare i progressi vengono utilizzati solo piccoli programmi con vulnerabilità note, hanno aggiunto.
Hanno avvertito che, sebbene questo sia un momento di convalida e di successo per il loro team, hanno ribadito che si tratta di “risultati altamente sperimentali”.
“Se dotati degli strumenti giusti, gli attuali LLM possono eseguire ricerche sulle vulnerabilità”, hanno affermato.
“La posizione del team di Big Sleep è che al momento è probabile che un fuzzer specifico per un target sarebbe almeno altrettanto efficace (nel trovare le vulnerabilità). Ci auguriamo che in futuro questo sforzo porti a un vantaggio significativo per i difensori, con la possibilità non solo di individuare casi di test anomali, ma anche di fornire analisi delle cause profonde di alta qualità, la valutazione e la risoluzione dei problemi potrebbe essere molto più economica e più efficace. efficace in futuro.”
Diversi ricercatori nel campo della sicurezza informatica concordano sul fatto che i risultati sono promettenti. Casey Ellis, fondatore di Bugcrowd, ha affermato che la ricerca su larga scala sui modelli linguistici è promettente e ha evidenziato in particolare il suo utilizzo sulle varianti come “davvero intelligente”.
“Sfrutta i punti di forza del modo in cui vengono formati gli LLM, colma alcune delle carenze del fuzzing e, soprattutto, imita l'economia e la tendenza verso il raggruppamento della ricerca sulla sicurezza nel mondo reale”, ha affermato.
