O Google afirmou que descobriu uma vulnerabilidade zero-day no motor de banco de dados open-source SQLite usando sua estrutura assistida por modelo de linguagem de grande escala (LLM) chamada Big Sleep (anteriormente Projeto Naptime).
O gigante da tecnologia descreveu o desenvolvimento como a "primeira vulnerabilidade do mundo real" descoberta usando o agente de inteligência artificial (AI).
"Acreditamos que este seja o primeiro exemplo público de um agente de IA encontrando um problema explorável de segurança de memória anteriormente desconhecido em um software real-world amplamente usado", disse a equipe do Big Sleep em uma postagem de blog compartilhada.
A vulnerabilidade em questão é um stack buffer underflow no SQLite, que ocorre quando um pedaço de software faz referência a um local de memória antes do início do buffer de memória, resultando em um crash ou execução arbitrária de código.
"Isto tipicamente ocorre quando um ponteiro ou seu índice é decrementado para uma posição antes do buffer, quando a aritmética de ponteiro resulta em uma posição antes do início do local de memória válido, ou quando um índice negativo é usado", de acordo com uma descrição do Common Weakness Enumeration (CWE) da classe de bug.
Após a divulgação responsável, a deficiência foi abordada no início de outubro de 2024.
Vale ressaltar que a falha foi descoberta em um ramo de desenvolvimento da biblioteca, significando que foi sinalizada antes de ser incorporada a uma liberação oficial.
O Projeto Naptime foi detalhado pela primeira vez pelo Google em junho de 2024 como uma estrutura técnica para melhorar as abordagens de descoberta automática de vulnerabilidades.
Desde então, evoluiu para o Big Sleep, como parte de uma colaboração mais ampla entre o Google Project Zero e o Google DeepMind.
Com o Big Sleep, a ideia é alavancar um agente de AI para simular o comportamento humano ao identificar e demonstrar vulnerabilidades de segurança, tirando proveito das habilidades de compreensão de código e raciocínio de um LLM.
Isso envolve usar um conjunto de ferramentas especializadas que permitem ao agente navegar pelo código-fonte alvo, executar scripts Python em um ambiente sandbox para gerar entradas para fuzzing, e depurar o programa e observar resultados.
"Acreditamos que este trabalho tem um potencial defensivo tremendo. Encontrar vulnerabilidades no software antes mesmo de ser lançado significa que não há margem para ataques de competidores: as vulnerabilidades são corrigidas antes mesmo dos atacantes terem a chance de usá-las", disse o Google.
No entanto, a empresa também enfatizou que esses ainda são resultados experimentais, acrescentando "a posição da equipe do Big Sleep é que, no presente, é provável que um fuzzer específico de alvo seja pelo menos tão eficaz (na descoberta de vulnerabilidades)."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...