Big Sleep, l'IA di Google ha scovato una falla nel codice di SQLite che poteva fare danni

Google ha annunciato, con un post online, che uno dei suoi agenti di intelligenza artificiale - basato su Gemini 1.5 Pro - è stato in grado di rilevare una vulnerabilità di sicurezza legata alla memoria potenzialmente sfruttabile da malintenzionati.

Secondo quanto riportato, si trattava di un problema di stack buffer underflow in SQLite, un database engine open source altamente utilizzato. "Abbiamo scoperto la vulnerabilità e l'abbiamo segnalata agli sviluppatori all'inizio di ottobre, che l'hanno risolta lo stesso giorno. Fortunatamente, abbiamo trovato questo problema prima che apparisse in una release ufficiale, quindi gli utenti di SQLite non sono stati colpiti".

Google ritiene che questo sia il primo esempio pubblico di un agente di intelligenza artificiale che scopre un problema di sicurezza "precedentemente sconosciuto e sfruttabile in un software molto diffuso nel mondo reale". Merito della scoperta va a Big Sleep, questo il nome dell'agente IA, risultato della collaborazione tra Google Project Zero e DeepMind, ed evoluzione del precedente Project Naptime.

La vulnerabilità dello stack buffer underflow avrebbe potuto consentire a un malintenzionato di causare un crash o forse anche di eseguire codice arbitrario. Dettagli tecnici sul problema sono esposti da Google nel post, ma secondo i ricercatori la falla non è banale da sfruttare e il fuzzing - l'immissione di dati casuali e/o accuratamente elaborati nel software per scoprire bug sfruttabili - non ha permesso di rintracciare il problema, al contrario di Big Sleep.

"Pensiamo che questo lavoro abbia un enorme potenziale difensivo", ha dichiarato il team di Big Sleepe. "Il fuzzing ci ha aiutato in modo significativo, ma abbiamo bisogno di un approccio che possa aiutare i difensori a trovare i bug che sono difficili (o impossibili) da trovare con il fuzzing, e speriamo che l'intelligenza artificiale possa ridurre questo divario".

A ottobre Protect AI, con sede a Seattle, ha annunciato uno tool gratuito e open source che consente di trovare vulnerabilità zero-day in Python con l'aiuto di Claude di Anthropic. Questo strumento si chiama Vulnhuntr e, secondo gli sviluppatori, ha trovato più di una dozzina di bug zero-day in grandi progetti Python open source.

Secondo Google, i due strumenti hanno scopi diversi. "Nel post affermiamo che Big Sleep ha scoperto il primo problema di sicurezza legato alla memoria non ancora sfruttato in un software di uso comune nel mondo reale", ha dichiarato un portavoce di Google a The Register. "Il Large Language Model dedicato a Python trova diversi tipi di bug che non sono legati alla sicurezza della memoria".