IA da Google descobre Zero-Day
4 de Novembro de 2024

O Google afirmou que descobriu uma vulnerabilidade zero-day no motor de banco de dados open-source SQLite usando sua estrutura assistida por modelo de linguagem de grande escala (LLM) chamada Big Sleep (anteriormente Projeto Naptime).

O gigante da tecnologia descreveu o desenvolvimento como a "primeira vulnerabilidade do mundo real" descoberta usando o agente de inteligência artificial (AI).

"Acreditamos que este seja o primeiro exemplo público de um agente de IA encontrando um problema explorável de segurança de memória anteriormente desconhecido em um software real-world amplamente usado", disse a equipe do Big Sleep em uma postagem de blog compartilhada.

A vulnerabilidade em questão é um stack buffer underflow no SQLite, que ocorre quando um pedaço de software faz referência a um local de memória antes do início do buffer de memória, resultando em um crash ou execução arbitrária de código.

"Isto tipicamente ocorre quando um ponteiro ou seu índice é decrementado para uma posição antes do buffer, quando a aritmética de ponteiro resulta em uma posição antes do início do local de memória válido, ou quando um índice negativo é usado", de acordo com uma descrição do Common Weakness Enumeration (CWE) da classe de bug.

Após a divulgação responsável, a deficiência foi abordada no início de outubro de 2024.

Vale ressaltar que a falha foi descoberta em um ramo de desenvolvimento da biblioteca, significando que foi sinalizada antes de ser incorporada a uma liberação oficial.

O Projeto Naptime foi detalhado pela primeira vez pelo Google em junho de 2024 como uma estrutura técnica para melhorar as abordagens de descoberta automática de vulnerabilidades.

Desde então, evoluiu para o Big Sleep, como parte de uma colaboração mais ampla entre o Google Project Zero e o Google DeepMind.

Com o Big Sleep, a ideia é alavancar um agente de AI para simular o comportamento humano ao identificar e demonstrar vulnerabilidades de segurança, tirando proveito das habilidades de compreensão de código e raciocínio de um LLM.

Isso envolve usar um conjunto de ferramentas especializadas que permitem ao agente navegar pelo código-fonte alvo, executar scripts Python em um ambiente sandbox para gerar entradas para fuzzing, e depurar o programa e observar resultados.

"Acreditamos que este trabalho tem um potencial defensivo tremendo. Encontrar vulnerabilidades no software antes mesmo de ser lançado significa que não há margem para ataques de competidores: as vulnerabilidades são corrigidas antes mesmo dos atacantes terem a chance de usá-las", disse o Google.

No entanto, a empresa também enfatizou que esses ainda são resultados experimentais, acrescentando "a posição da equipe do Big Sleep é que, no presente, é provável que um fuzzer específico de alvo seja pelo menos tão eficaz (na descoberta de vulnerabilidades)."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...