Peneliti Google berhasil menemukan kerentanan zero-day menggunakan deteksi kerentanan yang dibantu LLM.
Peneliti Google berhasil menemukan kerentanan zero-day menggunakan deteksi kerentanan yang dibantu LLM.
[ad_1]
Salah satu inisiatif penelitian keamanan Google, Project Zero, berhasil mendeteksi kerentanan keamanan memori zero-day menggunakan deteksi berbantuan LLM. “Kami percaya ini adalah contoh publik pertama dari agen AI yang menemukan masalah keamanan memori yang sebelumnya tidak diketahui dan dapat dieksploitasi dalam perangkat lunak dunia nyata yang banyak digunakan,” tulis tim tersebut dalam siaran pers. pekerjaan.
Project Zero adalah tim peneliti keamanan Google yang mempelajari kerentanan zero-day. Pada bulan Juni mereka mengumumkan Proyek Tidur Siangkerangka kerja untuk penelitian kerentanan yang dibantu LLM. Dalam beberapa bulan terakhir, Project Zero bermitra dengan Google DeepMind dan mengubah Project Naptime menjadi Big Sleep, yang mengungkap kerentanannya.
Kerentanan yang ditemukan oleh Big Sleep adalah stack buffer overflow di SQLite. Tim Project Zero melaporkan kerentanan tersebut kepada pengembang pada bulan Oktober, yang dapat menambalnya pada hari yang sama. Selain itu, kerentanan ditemukan sebelum muncul dalam rilis resmi.
“Kami yakin pekerjaan ini memiliki potensi pertahanan yang sangat besar,” tulis tim Project Zero.. “Menemukan kerentanan dalam perangkat lunak bahkan sebelum dirilis berarti bahwa penyerang tidak memiliki cara untuk bersaing: kerentanan ditambal bahkan sebelum penyerang sempat menggunakannya. »
Menurut Project Zero, infrastruktur pengujian SQLite yang ada, termasuk OSS-Fuzz dan infrastruktur proyek itu sendiri, tidak menemukan kerentanan.
Eksploitasi ini mengikuti tim peneliti keamanan Tim Atlanta Awal tahun ini, kami juga menemukan kerentanan di SQLite menggunakan deteksi berbantuan LLM. Project Zero mengambil inspirasi dari hal ini dalam penelitiannya sendiri.
Menurut Project Zero, fakta bahwa Big Sleep mampu menemukan kerentanan dalam proyek sumber terbuka yang difuzz dengan baik adalah hal yang menarik, namun mereka juga percaya bahwa hasilnya masih bersifat eksperimental dan bahwa fuzzer yang spesifik target juga akan efektif dalam menemukan kerentanan. .
“Kami berharap di masa depan, upaya ini akan memberikan manfaat yang signifikan bagi para pembela HAM – dengan kemampuan untuk tidak hanya menemukan kasus uji yang mengalami kegagalan, namun juga menyediakan analisis akar permasalahan berkualitas tinggi, triase dan Pemecahan Masalah bisa jauh lebih murah dan mahal. . efektif di masa depan. Kami bertujuan untuk terus berbagi penelitian kami di bidang ini, menjembatani kesenjangan antara seni publik dan seni swasta sebanyak mungkin,” tim menyimpulkan.
[ad_2]