Google hat kürzlich bekannt gegeben, dass sein neu entwickeltes KI-Modell „Big Sleep“ erfolgreich eine Speicherlücke in der SQLite-Datenbank entdeckt hat. Diese Lücke ist ein ausnutzbares Stack-Puffer-Überlaufproblem, das vor der offiziellen Veröffentlichung behoben werden konnte. Big Sleep ist das Ergebnis einer Zusammenarbeit zwischen Googles Project Zero und DeepMind und wird als verbesserte Version des früheren Project Naptime angesehen.
SQLite, eine Open-Source-Datenbank-Engine, könnte diese Sicherheitslücke Angreifern ermöglichen, durch böswillig konstruierte Datenbanken oder SQL-Injection einen Absturz von SQLite oder sogar die Ausführung beliebigen Codes zu verursachen. Das Problem liegt in einem magischen Wert -1, der versehentlich als Array-Index verwendet wurde. Obwohl der Code eine assert()-Funktion zur Erkennung dieses Problems enthält, wird diese Debug-Prüfung in der Release-Version entfernt.
Google betont, dass die Ausnutzung dieser Sicherheitslücke nicht einfach ist. Viel wichtiger ist jedoch, dass dies das erste Mal ist, dass eine KI eine bekannte Sicherheitslücke in realer Software entdeckt hat. Laut Google konnten herkömmliche Fuzzing-Methoden dieses Problem nicht finden, Big Sleep hingegen schon. Nach der Analyse einer Reihe von Commits im Projekt-Quellcode identifizierte Big Sleep die Sicherheitslücke Anfang Oktober und sie wurde noch am selben Tag behoben.
In einer Ankündigung vom 1. November erklärte Google, dass diese Forschungsergebnisse ein enormes Potenzial im Bereich der Sicherheitsabwehr haben. Obwohl Fuzzing bereits beachtliche Erfolge erzielt hat, ist das Google-Team der Meinung, dass ein neuer Ansatz erforderlich ist, um Entwicklern bei der Entdeckung schwer zu findender Sicherheitslücken zu helfen. Sie setzen große Hoffnungen in die Fähigkeiten der KI in diesem Bereich.
Zuvor hatte das in Seattle ansässige Unternehmen Protect AI ein Open-Source-Tool namens Vulnhuntr vorgestellt, das angeblich das Anthropic Claude KI-Modell nutzen kann, um Zero-Day-Schwachstellen in Python-Codebasen zu finden. Das Google-Team betont jedoch, dass die beiden Tools unterschiedliche Zwecke haben: Big Sleep entdeckt speicherbezogene Sicherheitslücken.
Derzeit befindet sich Big Sleep noch in der Forschungsphase und wurde zuvor hauptsächlich an kleinen Programmen mit bekannten Sicherheitslücken getestet. Dies war der erste Test in einer realen Umgebung. Für den Test sammelte das Forschungsteam einige der neuesten Commits des SQLite-Code-Repositorys, analysierte diese und passte dann die Eingabeaufforderungen des Modells an, um schließlich die Sicherheitslücke zu finden.
Trotz dieses Erfolgs weist das Google-Team darauf hin, dass diese Ergebnisse noch stark experimentell sind und gezielte Fuzzing-Tests derzeit möglicherweise genauso effektiv sind.
Wichtigste Punkte:
🔍 **Googles KI-Modell Big Sleep entdeckt erstmals eine Speicherlücke in SQLite.**
🛠️ **Die Sicherheitslücke wurde vor der Veröffentlichung behoben, was einen neuen Fortschritt im Bereich der KI-gestützten Sicherheitslückenfindung darstellt.**
📊 **Trotz der Erfolge betont Google, dass die Ergebnisse derzeit noch experimentell sind und Fuzzing weiterhin effektiv ist.**