揭秘全球大规模漏洞事件

文章标题：AI在真实世界数据库中发现安全漏洞：谷歌BigSleep项目的惊人成果

新智元报道：近日，谷歌的BigSleep项目取得了重大突破，其AIAgent在广泛使用的开源数据库引擎SQlite中发现了可利用的内存安全漏洞。
这一发现标志着人工智能在代码安全领域的一次重要进步，可能会为未来的软件安全带来革命性的改变。

一、AI发现真实世界中的重大安全漏洞

隶属于谷歌projectZero和Googledeepmind的团队宣布，这是AIAgent首次在广泛使用的现实软件中，发现未知可利用内存安全问题的第一个公开示例。
这个漏洞存在于全球广泛使用的SQLite数据库中，这是一个轻量级嵌入式数据库，广泛应用于智能手机、浏览器、嵌入式系统、IoT设备等多种环境。

二、从Naptime到BigSleep：AI在代码安全领域的探索

这项成果来自于谷歌BigSleep项目的持续努力。
此前，该项目在《ProjectNaptime：评估大型语言模型的攻防能力》中介绍了一种利用LLM（大型语言模型）辅助的漏洞研究框架。
随着LLM代码理解和一般推理能力的提高，谷歌研究者一直在探索这些模型如何在识别和演示安全漏洞时，模仿人类安全研究人员的方法。

三、AIAgent的成功挑战：发现漏洞的复杂过程

此次在SQLite中发现漏洞的过程并非一帆风顺。
研究团队从一个已知的漏洞出发，通过调整prompt，为AIAgent同时提供了提交信息和代码变更，要求其审查当前代码库中可能仍未修复的相关问题。
这个过程涉及对差异中的变化进行合理的评估，并以此作为研究的切入点，经过数个步骤的探索和测试，AIAgent最终发现了一个与预期相符的漏洞。

四、模糊测试的局限性：AI在其中的作用

此次漏洞的发现也揭示了模糊测试的局限性。
传统的模糊测试工具并未能发现这个漏洞，即使经过长时间的测试，问题仍未被揭示。
这表明，虽然模糊测试在软件安全中起到了重要作用，但它并不能解决所有问题。
相比之下，AIAgent通过理解代码的逻辑和结构，能够更深入地发现潜在的安全隐患。

五、LLM的潜力与未来的期望

此次成果证明了LLM在代码安全领域的巨大潜力。
谷歌研究者表示，这是一个有希望的方向，能为防御者带来不对称的优势。
随着AI技术的不断进步，未来的LLM可能会成为软件安全领域的重要工具，帮助我们发现并修复更多的安全隐患。

六、团队介绍

此次成果的团队中唯一的华人DanZheng是谷歌DeepMind的研究工程师，他从事代码和软件工程的机器学习，以及编程语言的研究。
此前，他曾参与SwiftforTensorFlow的工作，专注于Swift中的可微分编程。
他在普渡大学获得了计算机科学专业的学士学位。
多年来，他作为研究员取得了许多重要成果。

七、总结

谷歌BigSleep项目的成果标志着人工智能在代码安全领域的一次重要突破。
AIAgent在SQLite中发现的安全漏洞，展示了AI在真实世界软件中的强大能力。
随着技术的不断进步，我们有理由相信，AI将在未来的软件安全领域发挥更大的作用，帮助我们解决更多的技术难题。
参考链接：[googleprojectzero博客链接](。

---

---

相关标签： 用例、 真实世界、 世界代码漏洞、 谷歌agent、

上一篇：精致女人的丝巾魅力

下一篇：揭秘三个思想实验重塑时空观念实验揭示人类