Проектът за изкуствен интелект „Big Sleep“ на Google разкрива реални уязвимости в софтуера

Програмата за изкуствен интелект на Google наскоро откри неизвестен досега бъг в SQLite. Последното е машина за бази данни с отворен код. Беше открита известна уязвимост, преди да се стигне до официалното издание на софтуера. Това накара SQLite да направи корекция миналия месец. Проект на Google AI е достатъчно интелигентен, за да разкрие сам уязвимостите в софтуера в реалния свят.

Софтуерни заплахи

Нарастващите изследвания показват, че днешните големи езикови модели притежават потенциала да откриват софтуерни уязвимости. По този начин дават на технологичната индустрия така необходимото предимство в защита на софтуера срещу хакери.

Това не е първият път, когато AI програма открива пропуски в софтуера. През август, друг голям езиков модел, наречен Atlantis, разкри отделен бъг в SQLite. Междувременно моделите за машинно обучение се използват от години и за намиране на потенциални уязвимости в софтуерния код.

Постижението на Google със собствена програма за изкуствен интелект показва, че е възможно големите езикови модели да откриват и по-сложни грешки. Това обещава постигане на значително предимство пред заплахите на злонамерените.

Проектът на Google първоначално е наречен „Project Naptime“. Сега вече е познат като „Big Sleep“. Намек за това как изследователите на компанията се надяват програмата да стане достатъчно способна, за да позволи на човешките изследователи да подремват редовно по време на работа.

Силата на Big Sleep

Big Sleep е проектиран със специални инструменти, предназначени да имитират работния процес на изследовател на човешката сигурност, когато изследва компютърен код на конкретна програма. Google следи за варианти на съществуващи грешки в сигурността, които често са повтарящ се проблем в днешния софтуер.

Тест и поведение

Изследователите изпробват новите модели и инструменти, като провеждат първия си обширен експеримент за анализ на варианти в реалния свят на SQLite. Това включва преглед на последните промени от Big Sleep, направени в кодовата база на SQLite. AI агентът на Google успя да задейства грешка и да срине SQLite, за да разбере и обясни по-добре проблема чрез анализ на първопричината.

В резултат на това, когато са снабдени с правилните инструменти, настоящите LLM могат да извършват проучване на уязвимостите. Въпреки това, специализиран инструмент за намиране на грешки, известен като специфичен за целта fuzzer, също би бил ефективен при намирането на неточности. Той може да инжектира произволен код в програмата.

В бъдеще това усилие ще доведе до значително предимство за защитниците. Те ще имат потенциал не само да откриват случаи на сривове, но и да предоставят висококачествен анализ на първопричината. Коригирането на проблемите може да стане по-евтино и ефективно в бъдеще.