Big Sleepは、GoogleのLLMです。
LLMはLarge Language Modelですね。
いわゆるAIのシステムが話題になり始めて以降、いろいろなことができることが案内されてきています。
そして今回、新たな方向性の成果が案内されています。
- Big SleepがSQLiteの脆弱性を発見した
Big SleepがSQLiteの脆弱性を発見しました。
確認できている範囲では、 広く使用されている現実世界のソフトウェアにおいて、これまで知られていなかった悪用可能なメモリ安全性の問題をAIエージェントが発見した初の公開例 ということです。
AIに向けた脆弱性を仕込んである訓練用のソフトウェアの欠陥をAIに検出させる取り組みはこれまではあった、ということでしょうか。
しかし、今回の検出は、実際に公開されている通常のソフトウェアに対して行われて、脆弱性を発見したということです。
発見した脆弱性は、SQLiteのスタックバッファアンダーフローです。
これは、ソフトウェアがメモリバッファの先頭より前のメモリ位置を参照したときに発生し、クラッシュや任意のコードの実行につながります。
しかし、これは実際には問題になりませんでした。
脆弱性が発見された場所はSQLiteの開発ブランチのなかのコードでした。
そして、そのブランチがマージされてリリースされる前に脆弱性が通知され、開発者は速やかに対応できました。
このため、その脆弱性が含まれた状態でSQLiteはリリースされませんでした。
今回のような成果を聞くと夢が広がります。
CI/CDのような活動の要素としてこういったAIによる脆弱性の発見機構が組み込まれていけば、その仕組みを使ってリリースされるソフトウェアの安全性は、より高いものになるかもしれません。
AIになんでも期待するというのは違うとは思いますが、できることは着実に広がってきているとも感じます。
From Naptime to Big Sleep: Using Large Language Models To Catch Vulnerabilities In Real-World Code
https://googleprojectzero.blogspot.com/2024/10/from-naptime-to-big-sleep.html
| この記事をシェア |
|
|---|
