Google’s AI-tool Big Sleep vindt zero-day-kwetsbaarheid in SQLite Database Engine

Google zei dat het een zero-day-kwetsbaarheid in de SQLite open-source database-engine heeft ontdekt met behulp van zijn door het Large Language Model (LLM) ondersteunde raamwerk genaamd Grote slaap (voorheen Project Naptime).

De technologiegigant beschreef de ontwikkeling als de “eerste echte kwetsbaarheid” die werd ontdekt met behulp van de kunstmatige intelligentie (AI).

“Wij geloven dat dit het eerste publieke voorbeeld is van een AI-agent die een voorheen onbekend exploiteerbaar geheugenveiligheidsprobleem vindt in veelgebruikte software in de echte wereld”, aldus het Big Sleep-team in een blogpost gedeeld met The Hacker News.

De kwetsbaarheid in kwestie is een stackbuffer-underflow in SQLite, die optreedt wanneer een stukje software verwijst naar een geheugenlocatie vóór het begin van de geheugenbuffer, wat resulteert in een crash of uitvoering van willekeurige code.

“Dit gebeurt meestal wanneer een pointer of zijn index wordt verlaagd naar een positie vóór de buffer, wanneer de rekenkunde van de pointer resulteert in een positie vóór het begin van de geldige geheugenlocatie, of wanneer een negatieve index wordt gebruikt”, aldus een Common Weakness Enumeration. (CWE) beschrijving van de bugklasse.

Na verantwoorde openbaarmaking is de tekortkoming vanaf begin oktober 2024 verholpen. Het is vermeldenswaard dat de fout werd ontdekt in een ontwikkelingstak van de bibliotheek, wat betekent dat deze werd gemarkeerd voordat er een officiële release van werd gemaakt.

Project Naptime werd in juni 2024 voor het eerst door Google uitgewerkt als een technisch raamwerk om de geautomatiseerde aanpak van het ontdekken van kwetsbaarheden te verbeteren. Het is sindsdien uitgegroeid tot Big Sleep, als onderdeel van een bredere samenwerking tussen Google Project Zero en Google DeepMind.

Met Big Sleep is het de bedoeling om een ​​AI-agent in te zetten om menselijk gedrag te simuleren bij het identificeren en demonstreren van beveiligingskwetsbaarheden door gebruik te maken van het codebegrip en redeneervermogen van een LLM.

Dit omvat het gebruik van een reeks gespecialiseerde tools waarmee de agent door de doelcodebase kan navigeren, Python-scripts in een sandbox-omgeving kan uitvoeren om invoer voor fuzzing te genereren, en het programma kan debuggen en de resultaten kan observeren.

“Wij denken dat dit werk een enorm defensief potentieel heeft. Het vinden van kwetsbaarheden in software voordat deze zelfs maar is vrijgegeven, betekent dat er geen ruimte is voor aanvallers om te concurreren: de kwetsbaarheden worden verholpen voordat aanvallers zelfs maar de kans hebben om ze te gebruiken”, aldus Google.

Het bedrijf benadrukte echter ook dat dit nog steeds experimentele resultaten zijn, en voegde eraan toe: “Het standpunt van het Big Sleep-team is dat het op dit moment waarschijnlijk is dat een doelspecifieke fuzzer minstens zo effectief zou zijn (in het vinden van kwetsbaarheden).”

Thijs Van der Does