重大突破！AI首次发现内存安全漏洞

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

近日，谷歌宣布其大语言模型（LLM）项目“Big Sleep”成功发现了一个SQLite数据库引擎中的内存安全漏洞，这是人工智能首次在真实软件中发现可利用的内存安全漏洞（且该漏洞无法通过传统的模糊测试检测到）。

AI首次发现内存安全漏洞

谷歌的“Project Naptime”项目旨在评估LLM在进攻性安全研究方面的能力，后来该项目演变为“Big Sleep”，由谷歌Project Zero和DeepMind团队共同参与。Big Sleep项目致力于探索AI在发现软件漏洞中的潜力，特别关注高危漏洞的检测与利用。

在上周五的公告中，谷歌透露，Big Sleep项目的LLM代理在实验阶段成功识别出第一个真实世界中的漏洞——SQLite开源数据库引擎中的基于栈的缓冲区溢出漏洞。该漏洞在今年10月初被发现，SQLite开发团队在接到披露信息后数小时内即完成了补丁修复。

这一发现具有重大意义，因为这是AI首次独立检测出可利用的内存安全漏洞。

“青出于蓝”，超越模糊测试

Big Sleep的工作流程模拟了人类的漏洞研究过程。首先，AI被要求审查SQLite代码中的最新提交记录，并寻找类似于已知漏洞的安全问题。作为起点，研究人员向LLM提供了一个最近修复的漏洞，以引导它发现新的漏洞。通过这一策略，Big Sleep最终找到了一个严重的内存安全问题。

谷歌随后尝试使用传统的模糊测试来检测这一漏洞，耗费了150个CPU小时，仍未成功发现问题。值得注意的是，多年来，谷歌的AFL模糊测试工具在发现SQLite漏洞方面非常高效，但如今似乎已达到“自然饱和点”，难以再找到新的漏洞。相比之下，Big Sleep的LLM展示了其在识别高级安全问题方面的潜力。

AI在漏洞研究中的前景与挑战

谷歌在博客中指出，当前的LLM在配备合适工具时，确实可以胜任某些漏洞研究任务。然而，Big Sleep团队强调，这一成果仍属高度实验性，AI的发现能力还不具备完全替代模糊测试的可靠性。尽管如此，这一突破显示出AI在安全研究中的前景，尤其是在目标特定的漏洞检测方面，AI可能逐渐成为重要工具。

AI在网络安全中的应用越来越广泛，尤其是软件漏洞研究。就在上周，威胁情报公司GreyNoise利用AI工具检测到了针对常见物联网摄像头的漏洞利用企图。与此同时，AI安全公司Protect AI也开发了一种基于LLM的静态代码分析器，能够检测并解释复杂的多步骤漏洞，这进一步证明了AI在漏洞检测和分析中的独特优势。

除了检测已知漏洞，一些研究人员还在探索LLM代理如何利用已知和未知漏洞。AI不仅在发现安全问题上表现出色，还展现了在多步骤漏洞利用中的潜力。尽管目前这一研究仍处于初级阶段，但AI技术的发展为漏洞研究提供了新思路，并推动了网络安全技术的创新。

展望：AI与模糊测试的协同未来

谷歌和其他科技公司对LLM的研究表明，AI在漏洞检测和防御中的应用前景广阔。然而，正如谷歌所强调的，AI并非万能，它在一些特定场景下的表现可能与传统模糊测试相当甚至逊色。未来，或许AI和模糊测试的协同应用将成为网络安全研究的新趋势，通过融合不同技术手段，提高漏洞检测的效率和准确性。

来源：

https://googleprojectzero.blogspot.com/2024/10/from-naptime-to-big-sleep.html

新势力车企：

特斯拉、合众新能源-哪吒、理想、极氪、小米、宾理汽车、极越、零跑汽车、阿维塔汽车、智己汽车、小鹏、岚图汽车、蔚来汽车、吉祥汽车、赛力斯......

外资传统主流车企代表:

大众中国、大众酷翼、奥迪汽车、宝马、福特、戴姆勒-奔驰、通用、保时捷、沃尔沃、现代汽车、日产汽车、捷豹路虎、斯堪尼亚......

内资传统主流车企：

吉利汽车、上汽乘用车、长城汽车、上汽大众、长安汽车、北京汽车、东风汽车、广汽、比亚迪、一汽集团、一汽解放、东风商用、上汽商用......

全球领先一级供应商：

博世、大陆集团、联合汽车电子、安波福、采埃孚、科世达、舍弗勒、霍尼韦尔、大疆、日立、哈曼、华为、百度、联想、联发科、普瑞均胜、德赛西威、蜂巢转向、均联智行、武汉光庭、星纪魅族、中车集团、赢彻科技、潍柴集团、地平线、紫光同芯、字节跳动、......

二级供应商(500+以上)：

Upstream、ETAS、Synopsys、NXP、TUV、上海软件中心、Deloitte、奇安信、为辰信安、云驰未来、信大捷安、信长城、泽鹿安全、纽创信安、复旦微电子、天融信、奇虎360、中汽中心、中国汽研、上海汽检、软安科技、浙江大学......

更多文章

不要错过哦，这可能是汽车网络安全产业最大的专属社区！

关于涉嫌仿冒AutoSec会议品牌的律师声明

一文带你了解智能汽车车载网络通信安全架构

网络安全：TARA方法、工具与案例

汽车数据安全合规重点分析

浅析汽车芯片信息安全之安全启动

域集中式架构的汽车车载通信安全方案探究

系统安全架构之车辆网络安全架构

车联网中的隐私保护问题

智能网联汽车网络安全技术研究

AUTOSAR 信息安全框架和关键技术分析

AUTOSAR 信息安全机制有哪些？

信息安全的底层机制

汽车网络安全

Autosar硬件安全模块HSM的使用

首发!小米雷军两会上就汽车数据安全问题建言：关于构建完善汽车数据安全管理体系的建议