6 ноября, 12:08
Google ИИ впервые обнаружил уязвимость нулевого дня в SQLite
Белый хакер
Big Sleep: AI, который находит баги быстрее человека Всем привет! Исследователи из Google Project Zero и Google DeepMind рассказали о своём новом детище — AI-системе под названием Big Sleep. Она построена на базе мощной языковой модели Gemini 1.5 Pro и настроена на поиски уязвимостей в исходном коде. Главным достижением Big Sleep стало обнаружение своей первой реальной уязвимости – ошибка, которая привела к переполнению буфера в стеке buffer underflow в кодовой базе СУБД SQLite. Круто, что проблему поймали на ранней стадии, и она даже не попала в финальный релиз SQLite 3.47.0. Big Sleep может стать отличным помощником для автоматического поиска уязвимостей на начальных этапах разработки, что существенно сократит ручное рецензирование. Ожидается, что модель упростит процесс выявления скрытых проблем с безопасностью, которые сложно обнаружить с помощью стандартного fuzzing-тестирования. Для меня интересно, что AI-инструменты вроде Gemini уже не просто эксперименты: генеральный директор Google сообщил, что около 25% кода компании сейчас пишется с помощью таких моделей. Это ускоряет разработку, а конечные версии всё равно проходят проверку инженерами, чтобы исключить недочёты. P. S AI-инструменты, такие как Big Sleep, открывают новое измерение в разработке. Кто знает, может скоро эти системы будут искать баги с молниеносной точностью. #AIбезопасность #Google Белый хакер
Технологии17 дней назад
Двоичный кот
ИИ нашел 0-day уязвимость: Google теперь хакеры, но в хорошем смысле Google недавно заявила о первой в мире находке уязвимости нулевого дня, сделанной с помощью ИИ. В ходе эксперимента их новая команда Big Sleep, объединяющая Project Zero и DeepMind, обнаружила эксплуатируемую проблему с безопасностью в SQLite — популярной базе данных с открытым кодом. Этот баг был исправлен ещё до выхода официального релиза, и пользователи SQLite не пострадали. Big Sleep — это AI-агент, который помогает находить уязвимости там, где обычные инструменты, такие как fuzzing, не справляются. Идея в том, чтобы найти ошибки до их появления в релизах, оставляя минимум шансов для злоумышленников. Хотя результаты пока носят экспериментальный характер, Google считает, что в будущем такая помощь ИИ значительно упростит и удешевит устранение уязвимостей. Но давайте не забывать и о «обратной стороне» ИИ: пока Big Sleep помогает защитить наши системы, другие ИИ работают над созданием deepfake-угроз, которые могут поставить под угрозу не только репутации, но и демократические выборы. Так что технологии снова двигают нас вперёд — вопрос только в том, в каком направлении. Что скажете, может ли ИИ стать нашим лучшим защитником в мире кибербезопасности, или мы ещё пожалеем, что научили его хакерским трюкам?
Технологии16 дней назад
Не хакинг, а ИБ
Google Big Sleep: ИИ впервые превзошёл человека в поиске уязвимостей Google сообщила, что ИИ-модель корпорации впервые обнаружила уязвимость безопасности памяти в реальных условиях – речь идёт о стеке, в котором выявили переполнение буфера в SQLite В ходе теста команда собрала несколько последних коммитов репозитория SQLite и вручную отсеяла тривиальные изменения, чтобы направить ИИ на анализ оставшихся данных. В итоге, модель выявила ошибку, связанную с изменениями в коммите [1976c3f7] Эксплуатация уязвимости могла произойти через специально созданную базу данных, которую злоумышленник предоставил бы жертве, или с помощью SQL-инъекции Источник – линк. // Не хакинг, а ИБ
Технологии16 дней назад
Управление Уязвимостями и прочее
Возможно ли использовать AI для детектирования уязвимостей? Думаю да, но тут нужно определиться, что мы под этим понимаем. Если речь идёт об обнаружении ранее неизвестных уязвимостей, о ресёрче, то здесь AI инструменты работают уже сейчас. Буквально на днях, 1 ноября, исследователи из Google Project Zero обнаружили первую реальную эксплуатабельную уязвимость с помощью своего LLM проекта Big Sleep. Это была stack buffer underflow в SQLite. Очень круто и многообещающе. Если же речь идёт об известных CVE уязвимостях, то задача сводится к генерации чётких правил их детектирования в инфраструктуре. AI должен взять на вход имя продукта и вендора, обнаружить источник данных об уязвимостях, понять структуру данных и как можно из них сгенерировать формальные правила для детектирования например, на языке OVAL , произвести генерацию и оценить корректность правил. Не выглядит как что-то невероятное, но практических реализаций этого я пока не встречал. #AI #SQLite #Google #OVAL #Detection
Технологии16 дней назад
Техно Творец
ИИ-агент от Google обнаружил первую реальную уязвимость в безопасности Команда Google Project Zero объявила, что их ИИ-агент, основанный на модели Gemini 1.5 Pro, смог обнаружить реальную уязвимость в SQLite популярной системе управления базами данных . Это первый публичный случай, когда ИИ-агент самостоятельно нашел ранее неизвестную уязвимость в широко используемом программном обеспечении. Уязвимость была обнаружена до того, как она попала в официальный релиз SQLite. ИИ-агент использовал различные инструменты, включая отладчик, для поиска уязвимости.
Технологии15 дней назад
Похожие новости
Развитие ИИ: новые модели и открытый доступ к AlphaFold3
Технологии
1 день назад +6
Индийское агентство ANI подает в суд на OpenAI за несанкционированное использование контента
Технологии
1 час назад +2
Спрос на no-code и AI в России вырос на 40% в 2024 году
Технологии
1 день назад +3
В Казахстане запущена система видеомониторинга с ИИ для повышения безопасности
Происшествия
1 день назад +4
Создание генеративных агентов для моделирования поведения 1000 человек
Технологии
3 часа назадОпрос: россияне позитивно оценивают влияние ИИ на медицину и научные исследования
Наука
1 день назад +7