Google revendique une première mondiale alors que l’IA découvre une vulnérabilité de sécurité de type 0-Day

Un agent d’IA a découvert une vulnérabilité de sécurité mémoire exploitable, de type zero-day, jusqu’alors inconnue, dans des logiciels du monde réel largement utilisés. C’est le premier exemple, du moins rendu public, d’une telle découverte, selon Project Zero et DeepMind de Google, les forces derrière Big Sleep, l’agent de vulnérabilité assisté par un grand modèle de langage qui a repéré la vulnérabilité.

Si vous ne savez pas ce qu’est le Projet Zéro et n’êtes pas impressionné par ce qu’il a accompli dans le domaine de la sécurité, alors vous n’y avez tout simplement pas prêté attention ces dernières années. Ces pirates informatiques et chercheurs en sécurité d’élite travaillent sans relâche pour découvrir les vulnérabilités Zero Day dans les produits Google et au-delà. La même accusation de manque d’attention s’applique si vous ne connaissez pas DeepMind, les laboratoires de recherche sur l’IA de Google. Ainsi, lorsque ces deux mastodontes technologiques ont uni leurs forces pour créer Big Sleep, ils allaient forcément faire des vagues.

ForbesComment l’anxiété a battu les hackers Deepfake AI de startup de 10 milliards de dollarsPar Davey Winder

Google utilise un grand modèle de langage pour détecter la vulnérabilité Zero Day dans le code du monde réel

Dans une annonce du 1er novembre, le blog Project Zero de Google a confirmé que le cadre de recherche sur les vulnérabilités de sécurité assisté par un grand modèle de langage du Project Naptime est devenu Big Sleep. Cet effort de collaboration impliquant certains des meilleurs hackers éthiques, dans le cadre du Projet Zero, et les meilleurs chercheurs en IA, dans le cadre de Google DeepMind, a développé un grand agent alimenté par un modèle de langage qui peut découvrir des vulnérabilités de sécurité très réelles. dans un code largement utilisé. Dans le cas de cette première mondiale, l’équipe de Big Sleep affirme avoir trouvé « un sous-débordement de tampon de pile exploitable dans SQLite, un moteur de base de données open Source largement utilisé ».

La vulnérabilité Zero Day a été signalée à l’équipe de développement SQLite en octobre, qui l’a corrigée le même jour. “Nous avons trouvé ce problème avant qu’il n’apparaisse dans une version officielle”, a déclaré l’équipe Big Sleep de Google, “les utilisateurs de SQLite n’ont donc pas été affectés”.

L’IA pourrait être l’avenir du fuzzing, selon l’équipe Google Big Sleep

Même si vous n’avez peut-être jamais entendu le terme « fuzzing », il fait partie du régime alimentaire de base de la recherche en sécurité depuis des décennies. Le fuzzing concerne l’utilisation de données aléatoires pour déclencher des erreurs dans le code. Bien que l’utilisation du fuzzing soit largement acceptée comme un outil essentiel pour ceux qui recherchent des vulnérabilités dans le code, les pirates admettront volontiers qu’ils ne peuvent pas tout trouver. “Nous avons besoin d’une approche qui puisse aider les défenseurs à trouver les bogues difficiles (voire impossibles) à trouver par fuzzing”, a déclaré l’équipe de Big Sleep, ajoutant qu’elle espérait que l’IA puisse combler le vide et trouver “les vulnérabilités des logiciels avant même qu’ils ne soient détectés”. libéré », laissant peu de marge de manœuvre aux attaquants.

ForbesNouvel avertissement de cyberattaque : confirmer que vous n’êtes pas un robot peut être dangereuxPar Davey Winder

“Trouver une vulnérabilité dans un projet open Source largement utilisé et bien flou est un résultat passionnant”, a déclaré l’équipe de Google Big Sleep, tout en admettant que les résultats sont actuellement “hautement expérimentaux”. À l’heure actuelle, l’agent Big Sleep est considéré comme étant aussi efficace qu’un fuzzer spécifique à une cible. Cependant, c’est l’avenir proche qui s’annonce prometteur. “Cet effort apportera un avantage significatif aux défenseurs”, a déclaré l’équipe Big Sleep de Google, “avec le potentiel non seulement de trouver des cas de tests qui plantent, mais également de fournir une analyse de haute qualité des causes profondes, le tri et la résolution des problèmes pourraient s’avérer très importants. moins cher et plus efficace à l’avenir.