गूगल AI मॉडल 'Big Sleep' ने SQLite में घातक सुरक्षा漏洞 का सफलतापूर्वक पता लगाया, पारंपरिक परीक्षण विफल!

गूगल ने हाल ही में घोषणा की है कि उसके नवीनतम विकसित AI मॉडल "Big Sleep" ने SQLite डेटाबेस में एक मेमोरी सुरक्षा漏洞 की पहचान की है। यह漏洞 एक उपयोग योग्य स्टैक बफर अंडरफ्लो समस्या है, जिससे कोड को आधिकारिक रिलीज से पहले ठीक किया जा सका। Big Sleep गूगल के Project Zero और DeepMind के सहयोग का परिणाम है, जिसे प्रारंभिक Project Naptime का उन्नत संस्करण माना जाता है।

SQLite एक ओपन-सोर्स डेटाबेस इंजन के रूप में, यह漏洞 हमलावरों को दुर्भावनापूर्ण तरीके से निर्मित डेटाबेस या SQL इंजेक्शन के माध्यम से SQLite के क्रैश होने या यहां तक कि मनचाहा कोड निष्पादन करने की अनुमति दे सकता है। विशेष रूप से, समस्या एक जादुई मान -1 के अप्रत्याशित रूप से ऐरे इंडेक्स के रूप में उपयोग होने से उत्पन्न होती है, हालांकि कोड में इस समस्या को पकड़ने के लिए assert() है, लेकिन रिलीज़ संस्करण में, इस डिबग स्तर की जांच हटा दी जाएगी।

गूगल ने बताया कि इस漏洞 का लाभ उठाना आसान नहीं है, लेकिन अधिक महत्वपूर्ण बात यह है कि यह AI द्वारा वास्तविक विश्व सॉफ़्टवेयर में ज्ञात कमजोरियों की पहचान करने का पहला अवसर है। गूगल के अनुसार, पारंपरिक फज़ परीक्षण विधियाँ इस समस्या को खोजने में विफल रहीं, लेकिन Big Sleep ने इसे किया। परियोजना के स्रोत कोड के एक श्रृंखला के विश्लेषण के बाद, Big Sleep ने अक्टूबर की शुरुआत में इस漏洞 को पहचान लिया और उसी दिन इसे ठीक कर दिया।

गूगल ने 1 नवंबर को एक घोषणा में कहा कि यह अनुसंधान परिणाम सुरक्षा के क्षेत्र में बड़े संभावनाएँ रखता है। जबकि फज़ परीक्षण ने महत्वपूर्ण सफलता प्राप्त की है, गूगल टीम मानती है कि उन कमजोरियों को खोजने में मदद के लिए एक नई विधि की आवश्यकता है जिन्हें फज़ परीक्षण के माध्यम से ढूंढना कठिन है, और वे इस क्षेत्र में AI की क्षमताओं के प्रति उत्सुक हैं।

इससे पहले, सिएटल स्थित Protect AI कंपनी ने एक ओपन-सोर्स उपकरण Vulnhuntr लॉन्च किया था, जिसका दावा है कि यह Anthropic के Claude AI मॉडल का उपयोग करके Python कोडबेस में शून्य-दिन के कमजोरियों की पहचान कर सकता है। हालाँकि, गूगल टीम ने जोर देकर कहा कि इन दोनों उपकरणों के उपयोग भिन्न हैं, Big Sleep ने मेमोरी सुरक्षा से संबंधित कमजोरियों की पहचान की है।

वर्तमान में, Big Sleep अभी भी अनुसंधान चरण में है, पहले यह ज्ञात कमजोरियों वाले छोटे कार्यक्रमों पर परीक्षण किया गया था। यह पहली बार है जब इसका वास्तविक वातावरण में प्रयोग किया गया है। परीक्षण के लिए, अनुसंधान टीम ने SQLite कोडबेस के कुछ नवीनतम सबमिशन एकत्र किए और विश्लेषण के बाद, मॉडल के संकेतों को समायोजित किया, अंततः इस漏洞 की पहचान की।

इस उपलब्धि के बावजूद, गूगल टीम ने सभी को याद दिलाया कि ये परिणाम अभी भी अत्यधिक प्रयोगात्मक चरण में हैं, वर्तमान लक्ष्य विशेष फज़ परीक्षण कमजोरियों की पहचान करने में समान रूप से प्रभावी हो सकता है।

मुख्य बिंदु:  

🔍 ** गूगल का AI मॉडल Big Sleep ने पहली बार SQLite मेमोरी सुरक्षा漏洞 की पहचान की।**  

🛠️ ** यह漏洞 आधिकारिक रिलीज से पहले ही ठीक कर दिया गया, जो कमजोरियों की पहचान में AI की नई प्रगति को दर्शाता है।**  

📊 ** हालांकि उपलब्धियों मिली हैं, गूगल ने जोर दिया कि वर्तमान परिणाम अभी भी प्रयोगात्मक हैं, फज़ परीक्षण अभी भी प्रभावी है।**