Il team di Project Zero di Google ha annunciato il successo del progetto Big Sleep, una collaborazione con Google DeepMind, nel rilevare una vulnerabilità di sicurezza in SQLite, un motore di database open source. Si tratta del primo caso pubblico di vulnerabilità di sicurezza zero-day scoperta da un agente AI.
La vulnerabilità in questione riguarda un underflow di buffer di stack sfruttabile, causato dalla gestione errata di un valore speciale nell’indice di colonna “iColumn”. Questo bug è stato scoperto grazie all’uso di LLM che hanno identificato un problema che sfuggiva ai tradizionali metodi di fuzzing. La ricerca ha utilizzato una serie di commit recenti nel repository di SQLite per testare varianti di vulnerabilità precedentemente risolte, dimostrando che i LLM possono essere efficaci nell’analisi di un software complesso.
Il progetto continua ad evolversi e potrebbe rappresentare una nuova frontiera per la sicurezza del software, utilizzando l’IA per scoprire vulnerabilità prima che possano essere sfruttate dagli aggressori.I risultati sono ancora sperimentali, ma sembrerebbe che l’IA abbia il potenziale per migliorare notevolmente il processo di individuazione e risoluzione dei bug nel software. Tuttavia, gli esperti avvertono anche dei pericoli dell’IA, come l’uso dei deepfake per manipolare l’opinione pubblica, una minaccia crescente per la sicurezza online e la democrazia.
Leggi l’articolo completo: Google Claims World First As AI Finds 0-Day Security Vulnerability su forbes.com e Project Zero su googleprojectzero.blogspot.com.
Immagine generata tramite DALL-E 3.
