Google afirma ser el primero en el mundo cuando la IA encuentra una vulnerabilidad de seguridad de día 0

Un agente de inteligencia artificial ha descubierto una vulnerabilidad de seguridad de memoria explotable, de día cero y previamente desconocida en software ampliamente utilizado en el mundo real. Es el primer ejemplo, al menos que se hace público, de tal hallazgo, según Project Zero de Google y DeepMind, las fuerzas detrás de Big Sleep, el gran agente de vulnerabilidad asistido por modelo de lenguaje que detectó la vulnerabilidad.

Si no sabe qué es el Proyecto Cero y no se ha sentido asombrado por lo que ha logrado en el ámbito de la seguridad, entonces simplemente no ha estado prestando atención estos últimos años. Estos piratas informáticos e investigadores de seguridad de élite trabajan incansablemente para descubrir vulnerabilidades de día cero en los productos de Google y más allá. La misma acusación de falta de atención se aplica si no conoce DeepMind, los laboratorios de investigación de inteligencia artificial de Google. Entonces, cuando estos dos gigantes tecnológicos unieron fuerzas para crear Big Sleep, seguramente causaron sensación.

ForbesCómo la ansiedad venció a los hackers deepfake de IA de startups de $ 10 mil millonesPor David Winder

Google utiliza un modelo de lenguaje grande para detectar la vulnerabilidad de día cero en el código del mundo real

En un anuncio del 1 de noviembre, el blog Project Zero de Google confirmó que el marco de investigación de vulnerabilidades de seguridad asistido por el modelo de lenguaje grande Project Naptime ha evolucionado hasta convertirse en Big Sleep. Este esfuerzo de colaboración que involucra a algunos de los mejores hackers éticos, como parte del Proyecto Cero, y los mejores investigadores de IA, como parte de Google DeepMind, ha desarrollado un gran agente impulsado por un modelo de lenguaje que puede salir y descubrir vulnerabilidades de seguridad muy reales. en código ampliamente utilizado. En el caso de esta primicia mundial, el equipo de Big Sleep dice que encontró “un desbordamiento insuficiente del búfer de pila explotable en SQLite, un motor de base de datos de código abierto ampliamente utilizado”.

La vulnerabilidad de día cero se informó al equipo de desarrollo de SQLite en octubre, quien la solucionó el mismo día. “Encontramos este problema antes de que apareciera en un lanzamiento oficial”, dijo el equipo de Big Sleep de Google, “por lo que los usuarios de SQLite no se vieron afectados”.

La IA podría ser el futuro del Fuzzing, dice el equipo de Google Big Sleep

Aunque es posible que nunca haya escuchado el término fuzzing, ha sido parte de la dieta básica de la investigación de seguridad durante décadas. Fuzzing se relaciona con el uso de datos aleatorios para provocar errores en el código. Aunque el uso de fuzzing es ampliamente aceptado como una herramienta esencial para quienes buscan vulnerabilidades en el código, los piratas informáticos admitirán fácilmente que no pueden encontrarlo todo. “Necesitamos un enfoque que pueda ayudar a los defensores a encontrar errores que son difíciles (o imposibles) de encontrar mediante fuzzing”, dijo el equipo de Big Sleep, y agregó que esperaba que la IA pueda llenar el vacío y encontrar “vulnerabilidades en el software incluso antes de que esté disponible”. liberados”, dejando poco margen para que los atacantes atacaran.

ForbesNueva advertencia de ciberataque: confirmar que no eres un robot puede ser peligrosoPor David Winder

“Encontrar una vulnerabilidad en un proyecto de código abierto ampliamente utilizado y bien confuso es un resultado emocionante”, dijo el equipo de Google Big Sleep, pero admitió que los resultados son actualmente “altamente experimentales”. En la actualidad, se considera que el agente Big Sleep es tan eficaz como un fuzzer específico para un objetivo. Sin embargo, lo que parece prometedor es el futuro próximo. “Este esfuerzo supondrá una ventaja significativa para los defensores”, dijo el equipo Big Sleep de Google, “con el potencial no sólo de encontrar casos de prueba que fallan, sino también de proporcionar un análisis de alta calidad de la causa raíz, la clasificación y la solución de problemas podrían ser mucho más importantes”. más barato y más eficaz en el futuro”.