Google iddia edir ki, onun süni intellekt modellərindən biri, təsirə məruz qalan kod rəsmi olaraq buraxılmamışdan əvvəl real həyatda yaddaş təhlükəsizliyi zəifliyini – SQLite-də yığın buferinin aşağı axınını müəyyən edən ilk model olub.
Böyük Yuxu adlanan Böyük Dil Modeli (LLM) ilə işləyən alət Google-un Project Zero və DeepMind arasında tərəfdaşlıq yolu ilə hazırlanıb. Bu, iyun ayında elan edilən Project Naptime-ın davamçısıdır.
Açıq mənbəli verilənlər bazası mühərriki olan SQLite-dəki bu boşluq potensial olaraq təcavüzkarın sistemi sıradan çıxarmasına və ya hətta ixtiyari kodu icra etməsinə imkan verə bilər. Xüsusilə, qüsur kitabxanada deyil, SQLite icra olunan proqramında massiv indeksi kimi səhvən istifadə olunan -1 dəyərini ehtiva edir. Bu etibarsız indeksi tutmaq üçün kodda assert() olsa da, o, istehsal qurğularında silinəcək və qüsuru aşkar edəcək. Bu pis indeksdən zərərli şəkildə hazırlanmış verilənlər bazası və ya SQL inyeksiyası ilə istifadə etməklə, Google istismarın mürəkkəb olacağını qəbul etsə də, təcavüzkar potensial olaraq qəzaya və ya kodun icrasına səbəb ola bilər.
Bununla belə, əhəmiyyətli məqam qüsurun ciddiliyi deyil, yeni aşkarlama üsuludur. İstismar edilə bilən səhvləri aşkar etmək üçün təsadüfi və ya diqqətlə hazırlanmış məlumatların daxil edildiyi ənənəvi fuzzing üsulları bu problemi aşkar etməmişdi, lakin Big Sleep etdi. Google bunu ilk dəfə olaraq süni intellektin geniş istifadə olunan proqram təminatında əvvəllər məlum olmayan, istismar edilə bilən yaddaş təhlükəsizliyi problemini aşkar etməsi kimi təsvir edir. Oktyabrın əvvəlində Big Sleep layihənin mənbə kodundakı öhdəlikləri araşdıraraq zəifliyi qeyd etdikdən sonra SQLite-in tərtibatçıları problemi elə həmin gün həll etdilər və qüsurun rəsmi buraxılışa keçməsinin qarşısını aldılar.
Big Sleep komandası noyabrın 1-də etdiyi yeniləmədə qeyd etdi ki, “Bu iş çox böyük müdafiə potensialına malikdir”. Onlar qeyd etdilər ki, tündləşmə dəyərli olsa da, süni intellekt müdafiəçilərə ənənəvi üsulların qaçırdığı anlaşılmaz səhvləri tapmaqda kömək edə bilər.
Qeyd edək ki, Seattleda yerləşən Protect AI şirkəti də oktyabr ayında Python kod bazalarında sıfır gün zəifliklərini aşkar etmək üçün Anthropic-in Claude AI modelindən istifadə edən Vulnhuntr adlı pulsuz, açıq mənbəli aləti işə salıb. Bu alətin açıq mənbəli Python layihələrində ondan çox sıfır günlük səhv aşkar etdiyi bildirilir.
Google-a görə, lakin bu alətlər müxtəlif məqsədlərə xidmət edir. Google, “Böyük Yuxu geniş istifadə olunan real proqram təminatında ilk naməlum istismar edilə bilən yaddaş təhlükəsizliyi problemini aşkar etdi” deyə aydınlaşdırdı, Python-a yönəlmiş LLM isə yaddaş təhlükəsizliyi ilə əlaqəli olmayan digər növ səhvləri tapdı.
Hazırda tədqiqat mərhələsində olan Big Sleep ilk növbədə zəiflikləri məlum olan kiçik proqramlarda sınaqdan keçirilib. Bu SQLite kəşfi real dünya ssenarisində ilk tətbiqini qeyd edir. Test üçün komanda bir neçə son SQLite öhdəliyini tərtib etdi, əhəmiyyətsiz dəyişiklikləri aradan qaldırdı və öhdəçilik mesajları və fərqləri daxil etmək üçün göstərişi dəqiqləşdirdi. Gemini 1.5 Pro-a əsaslanan LLM, nəticədə öhdəçilikdəki dəyişikliklərlə sərbəst şəkildə bağlı olan zəifliyi müəyyən etdi. Komanda izah etdi ki, bir səhvin aşkarlanması çox vaxt kod bazasında əlaqəli problemlərin aşkarlanmasına səbəb ola bilər.
Big Sleep komandası həmçinin kodu qiymətləndirmək, zəifliyi müəyyən etmək, qəzaya səbəb olmaq və kök səbəb təhlilini tamamlamaq üçün süni intellekt tərəfindən atılan əsas addımları paylaşdı. Bununla belə, onlar bu tapıntıların eksperimental olduğuna dair xəbərdarlıq etdilər və qeyd etdilər ki, hədəfə məxsus fuzzer bu cür zəiflikləri tapmaqda eyni dərəcədə təsirli ola bilər.
