【安全资讯】谷歌声称其AI首次发现SQLite安全漏洞

概要：

谷歌近日宣布，其AI模型Big Sleep成功发现了SQLite中的一个内存安全漏洞，这一漏洞在正式发布前就已被修复。此事件标志着AI在网络安全领域的潜力，尤其是在发现难以察觉的漏洞方面的重要性。

主要内容：

谷歌的Big Sleep是一个基于大型语言模型（LLM）的漏洞检测工具，旨在识别和修复软件中的安全缺陷。此次发现的漏洞是一个可利用的栈缓冲区下溢问题，可能导致攻击者在SQLite可执行文件中引发崩溃或实现任意代码执行。具体而言，该漏洞源于错误使用-1作为数组索引，虽然代码中有assert()来捕捉这一错误，但在发布版本中，该调试检查会被移除。

攻击者可以通过共享恶意构造的数据库或利用SQL注入来触发这一漏洞，尽管谷歌承认该漏洞的利用并不简单。Big Sleep的成功发现表明，AI在识别复杂漏洞方面的潜力，尤其是在传统模糊测试未能发现的情况下。

此外，谷歌指出，这是首次有AI代理发现广泛使用的软件中的未知可利用内存安全缺陷。Big Sleep的团队表示，这项工作具有巨大的防御潜力，未来希望AI能够帮助安全防御者发现那些难以通过传统方法找到的漏洞。此次事件不仅展示了AI在网络安全领域的应用前景，也为未来的漏洞检测技术提供了新的思路。