Google’s Big Sleep AI heeft een zero-day-kwetsbaarheid in de SQLite-database gedetecteerd, wat een nieuw hoofdstuk markeert in de detectie van geheugenveiligheidsfouten. Ontdek hoe deze doorbraak het zoeken naar insecten opnieuw zou kunnen definiëren.
Big Sleep, een evolutie van Google’s Project Naptime, was dat wel ontwikkeld via een samenwerking tussen Google’s Project Zero en DeepMind. Het vermogen om code-commits te analyseren en fouten op te sporen die voorheen niet door traditionele fuzzing-methoden werden ontdekt, brengt een nieuwe benadering met zich mee voor het identificeren van complexe kwetsbaarheden.
Wat is de Big Sleep AI-tool?
Grote slaap is de experimentele AI-tool van Google voor het opsporen van bugs die gebruikmaakt van de mogelijkheden van LLM’s om kwetsbaarheden in software te identificeren. Google heeft deze tool gemaakt om verder te gaan dan traditionele technieken, zoals fuzzing, door menselijk gedrag te simuleren en code op een dieper niveau te begrijpen. In tegenstelling tot fuzzing, waarbij willekeurig gegevens worden geïnjecteerd om softwarefouten te veroorzaken, controleert Big Sleep de code om potentiële veiligheidsbedreigingen te detecteren.
In oktober 2024 identificeerde Big Sleep met succes een kwetsbaarheid voor het onderstromen van de stackbuffer in SQLite. Als deze fout niet werd aangepakt, hadden aanvallers de SQLite-database kunnen laten crashen of mogelijk willekeurige code kunnen uitvoeren. De ontdekking is opmerkelijk omdat deze werd gedaan in een pre-releaseversie van SQLite, waardoor werd verzekerd dat de kwetsbaarheid werd gepatcht voordat deze de gebruikers bereikte.
Hoe Big Sleep de SQLite-kwetsbaarheid ontdekte
Google heeft Big Sleep de opdracht gegeven om recente commits aan de SQLite-broncode te analyseren. De AI kamde de wijzigingen door, geholpen door een op maat gemaakte prompt die context bood voor elke codewijziging. Door Python-scripts en sandbox-foutopsporingssessies uit te voeren, ontdekte Big Sleep een subtiele fout: een negatieve index, “-1”, gebruikt in de code, die een crash zou kunnen veroorzaken of mogelijk de uitvoering van code mogelijk zou kunnen maken.
Het Big Sleep-team documenteerde dit ontdekkingsproces in een recente blogpost, waarin werd uitgelegd hoe de AI-agent elke commit evalueerde, testte op kwetsbaarheden in de code en vervolgens de oorzaak van de bug traceerde. Deze kwetsbaarheid voor stackbuffer-underflow, gecategoriseerd als CWE-787, ontstaat wanneer software verwijst naar geheugenlocaties buiten de toegewezen buffers, wat resulteert in onstabiel gedrag of uitvoering van willekeurige code.
Waarom deze ontdekking belangrijk is voor cybersecurity
- Het vullen van de fuzzing gap: Fuzzing, hoewel effectief, heeft beperkingen. Het heeft moeite om complexe, diepgewortelde bugs in software te ontdekken. Google’s Big Sleep wil deze lacunes aanpakken door LLM’s te gebruiken om code te ‘begrijpen’ in plaats van alleen maar willekeurige fouten te veroorzaken.
- Realtime bugdetectie: Het vermogen van Big Sleep om kwetsbaarheden op te sporen tijdens de ontwikkeling van code verkleint de kans dat bugs in productie komen. Door fouten vóór de release te identificeren, minimaliseert Big Sleep potentiële exploitvensters voor aanvallers.
- Geautomatiseerde beveiliging op schaal: Het traditionele zoeken naar insecten vereist aanzienlijke menselijke expertise en tijd. Big Sleep zou met zijn AI-aangedreven aanpak de detectie van bugs kunnen democratiseren door het proces te automatiseren en te versnellen.
Hoe Big Sleep zich verhoudt tot andere AI-aangedreven beveiligingstools
Google beweert dat de focus van Big Sleep ligt op het detecteren van geheugenveiligheidsproblemen in veelgebruikte software, een gebied dat vaak een uitdaging vormt voor conventionele AI-tools. Protect AI’s Vulnhuntr, een AI-tool ondersteund door Claude van Anthropic, is bijvoorbeeld ontworpen om zero-day-kwetsbaarheden in Python-codebases te detecteren, maar richt zich op niet-geheugengerelateerde fouten. Volgens een woordvoerder van Google “ontdekte Big Sleep het eerste onbekende exploiteerbare geheugenveiligheidsprobleem in veelgebruikte software in de echte wereld.”
Door zich op specifieke soorten bugs te richten, vullen Big Sleep en Vulnhuntr elkaar aan, wat een toekomst suggereert waarin AI-aangedreven agenten zich kunnen specialiseren in verschillende aspecten van cyberbeveiliging.
Google beschouwt het succes van Big Sleep als een belangrijke stap in de richting van integratie AI in cyberbeveiliging verdedigingen. Het Big Sleep-team van Google verklaarde: “Wij geloven dat dit werk een enorm defensief potentieel heeft. Fuzzing heeft aanzienlijk geholpen, maar we hebben een aanpak nodig die verdedigers kan helpen de bugs te vinden die moeilijk (of onmogelijk) te vinden zijn met fuzzing.”
Het team benadrukte het belang van AI bij preventieve beveiligingsmaatregelen, waarbij kwetsbaarheden worden geïdentificeerd en gepatcht voordat aanvallers ze kunnen ontdekken.
Experimenteel karakter van Big Sleep
Hoewel het succes van Big Sleep bij het opsporen van de SQLite-kwetsbaarheid veelbelovend is, heeft Google opgemerkt dat de technologie experimenteel blijft. Het AI-model wordt nog steeds verfijnd en het team erkende dat een doelspecifieke fuzzer in bepaalde gevallen zijn huidige mogelijkheden zou kunnen evenaren of zelfs overtreffen.
Ondanks deze kanttekeningen blijft het team optimistisch en beschouwt het dit als het begin van de grotere rol van AI bij het opsporen van kwetsbaarheden. Door de capaciteiten van Big Sleep op zowel bekende als onbekende kwetsbaarheden voortdurend te testen, wil Google zijn mogelijkheden voor het zoeken naar bugs verbeteren, waardoor het mogelijk een essentieel hulpmiddel wordt voor ontwikkelaars en beveiligingsteams over de hele wereld.
AI in cyberbeveiliging
De succesvolle SQLite-kwetsbaarheidsdetectie van Big Sleep kan een signaal zijn voor een paradigmaverschuiving in cybersecurity, waarbij AI-agenten autonoom beveiligingsproblemen identificeren en aanpakken. Deze overgang naar geautomatiseerde beveiligingsmaatregelen zou een ongekende bescherming kunnen bieden en de kloof tussen het ontdekken en exploiteren van bugs kunnen dichten.
- Preventieve bugdetectie: AI-gestuurde tools zoals Big Sleep vertegenwoordigen een proactieve benadering van beveiliging. Door kwetsbaarheden te identificeren voordat software wordt uitgebracht, kunnen deze tools zero-day-exploits voorkomen en het risico voor eindgebruikers verminderen.
- Kosteneffectieve beveiliging: Traditioneel zoeken naar insecten is kostbaar en tijdrovend. AI-oplossingen kunnen beveiligingsprocessen stroomlijnen, waardoor de detectie van kwetsbaarheden sneller, schaalbaarder en mogelijk kosteneffectiever wordt.
- Continue verbetering: Naarmate AI-aangedreven tools zoals Big Sleep zich ontwikkelen, zullen ze hun vermogen om codestructuren te begrijpen en te analyseren verfijnen, wat leidt tot een uitgebreidere identificatie van kwetsbaarheden in toepassingen in de echte wereld.
Afbeeldingscredits: Kerem Gülen/Ideogram
