Google ha dichiarato di aver scoperto una vulnerabilità zero-day nel motore di database open Source SQLite utilizzando il suo framework assistito LLM (Large Language Model) chiamato Grande sonno (precedentemente Progetto Naptime).
Il gigante della tecnologia ha descritto lo sviluppo come la “prima vulnerabilità del mondo reale” scoperta utilizzando l’agente di intelligenza artificiale (AI).
“Crediamo che questo sia il primo esempio pubblico di un agente AI che trova un problema di sicurezza della memoria sfruttabile precedentemente sconosciuto in un software ampiamente utilizzato nel mondo reale”, ha affermato il team di Big Sleep in un post sul blog condiviso con The Hacker News.
La vulnerabilità in questione è un underflow del buffer dello stack in SQLite, che si verifica quando un pezzo di software fa riferimento a una posizione di memoria prima dell'inizio del buffer di memoria, provocando così un arresto anomalo o l'esecuzione di codice arbitrario.
“Ciò si verifica in genere quando un puntatore o il suo indice viene decrementato in una posizione prima del buffer, quando l'aritmetica del puntatore risulta in una posizione prima dell'inizio della posizione di memoria valida o quando viene utilizzato un indice negativo”, secondo una Common Weakness Enumeration (CWE) descrizione della classe bug.
A seguito di una divulgazione responsabile, la lacuna è stata risolta all'inizio di ottobre 2024. Vale la pena notare che la falla è stata scoperta in un ramo di sviluppo della libreria, il che significa che è stata segnalata prima che diventasse una versione ufficiale.
Il progetto Naptime è stato descritto per la prima volta da Google nel giugno 2024 come quadro tecnico per migliorare gli approcci automatizzati all'individuazione delle vulnerabilità. Da allora si è evoluto in Big Sleep, come parte di una più ampia collaborazione tra Google Project Zero e Google DeepMind.
Con Big Sleep, l'idea è di sfruttare un agente AI per simulare il comportamento umano durante l'identificazione e la dimostrazione delle vulnerabilità della sicurezza sfruttando le capacità di comprensione e ragionamento del codice di un LLM.
Ciò comporta l'utilizzo di una suite di strumenti specializzati che consentono all'agente di navigare attraverso la codebase di destinazione, eseguire script Python in un ambiente sandbox per generare input per il fuzzing, eseguire il debug del programma e osservare i risultati.
“Riteniamo che questo lavoro abbia un enorme potenziale difensivo. Trovare vulnerabilità nel software prima ancora che venga rilasciato, significa che non c'è spazio per gli aggressori di competere: le vulnerabilità vengono risolte prima ancora che gli aggressori abbiano la possibilità di usarle”, ha affermato Google.
L'azienda, tuttavia, ha anche sottolineato che si tratta ancora di risultati sperimentali, aggiungendo “la posizione del team Big Sleep è che al momento è probabile che un fuzzer specifico per un target sarebbe almeno altrettanto efficace (nell'individuazione delle vulnerabilità)”.
Related News :