[Перевод] Как мы нашли уязвимость в SQLite при помощи LLM

info@vsetut.pro

Стать автором

Вернуться

04.11.2024 10:49:59 | Хабр

Хабы: Информационная безопасность, Отладка, SQLite, Программирование

Введение

В нашем предыдущем посте Project Naptime: Evaluating Offensive Security Capabilities of Large Language Models мы рассказали о фреймворке для исследований уязвимостей при помощи языковых моделей и продемонстрировали его потенциал, усовершенствовав показатели современных бенчмарков CyberSecEval2 компании Meta. С тех пор Naptime эволюционировал в Big Sleep — совместный проект Google Project Zero и Google DeepMind.

Сегодня мы с радостью готовы поделиться первой уязвимостью из реального мира. обнаруженной агентом Big Sleep: отрицательным переполнением (underflow) буфера стека с возможностью реализации эксплойтов в SQLite, — широко используемом опенсорсном движке баз данных. Мы обнаружили уязвимость и сообщили о ней разработчикам в начале октября, и они устранили её в тот же день. К счастью, мы обнаружили эту проблему до её появления в официальном релизе, так что она не затронула пользователей SQLite.

Мы считаем, что это первый публичный пример обнаружения ИИ-агентом ранее неизвестной уязвимости безопасности по памяти в широко используемом реальном ПО. В этом же году на мероприятии DARPA AIxCC команда Team Atlanta обнаружила разыменование нулевого указателя в SQLite, что вдохновило нас использовать его в нашем тестировании, чтобы проверить, сможем ли мы найти более серьёзную уязвимость.

Мы считаем, что наша работа обладает огромным защитным потенциалом. Нахождение уязвимостей в ПО ещё до его релиза не позволит нападающим пользоваться ими: уязвимости устраняются ещё до того, как их увидят злоумышленники. Очень сильно помог в поиске уязвимостей фаззинг, но нам нужна методика, позволяющая защищающимся находить баги, которые сложно (или невозможно) обнаруживать фаззингом, и мы надеемся, что ИИ позволит закрыть этот пробел. Мы считаем, что это многообещающий путь к полному изменению ситуации в кибербезопасности и обеспечению асимметричного преимущества для защищающихся.

Сама уязвимость довольно любопытна, к тому же существующая инфраструктура тестирования SQLite (и через OSS-Fuzz, и через собственную инфраструктуру проекта) не обнаружила проблему, так что мы провели дополнительное исследование.

Подробнее

Читайте также

CryptoHack. Решение ECB Oracle
04.11.2024 10:41:56 | Хабр

Электромобиль на солнечных панелях прошел первые тесты
04.11.2024 10:30:53 | ferra.ru

Экономика и Монетизация игр: Краткое руководство
04.11.2024 10:08:18 | Хабр

Не удержался. Ответ на статью про «где лучше платят»
04.11.2024 10:02:45 | Хабр

Ctrl+S для Kubernetes: Volume Snapshots
04.11.2024 10:01:38 | Хабр

От основ нейросетей до дизайнерских белков: ИИ в Нобелевских премиях 2024 года
04.11.2024 10:00:34 | Хабр

Развенчаны популярные мифы о замораживании продуктов
04.11.2024 09:45:00 | ferra.ru

[Перевод] После паузы Voyager 1 вышел на связь с командой миссии
04.11.2024 09:43:25 | Хабр

Ядерные реакторы для космоса. Возвращение
04.11.2024 09:01:26 | Хабр

Раскрыта польза сардин для здоровья человека
04.11.2024 09:00:00 | ferra.ru

Поиск торговой идеи с помощью ChatGPT и Claude: от данных до бэктеста
04.11.2024 08:48:24 | Хабр

Недостижимая планка, или достижимая?
04.11.2024 08:40:10 | Хабр

Selectel School 2.0: как мы перезапустили курс для системных инженеров
04.11.2024 08:29:03 | Хабр

OpenAI: ИИ чаще придумывает ответы, чем отвечает по существу
04.11.2024 08:20:28 | ferra.ru

Учёные рассказали, как можно преодолеть зависимость от цифровых устройств
04.11.2024 08:15:00 | ferra.ru

Космический сплав будущего создали при помощи 3D-печати
04.11.2024 08:09:27 | ferra.ru

JavaScript: структуры данных и алгоритмы. Часть 6
04.11.2024 08:05:19 | Хабр

MacBook Pro в новом дизайне выйдет в 2026 году
04.11.2024 08:02:26 | ferra.ru

Путь к геометрии Лобачевского 5: модель Пуанкаре в круге
04.11.2024 08:00:17 | Хабр

Обновлен топ-10 Android-смартфонов по версии AnTuTu
04.11.2024 07:54:25 | ferra.ru

Названы 7 лучших лопатофонов на конец 2024 года
04.11.2024 07:47:24 | ferra.ru

Apple захотела купить Intel
04.11.2024 07:40:24 | ferra.ru

Ошибка ценой в 50 лет: как Intel потеряла корону в процессорной гонке
04.11.2024 07:35:24 | Хабр

Раскрыты цены флагманских Nothing Phone (3) и Phone (3) Pro
04.11.2024 07:32:23 | ferra.ru

Названы признаки того, что вам нужно пить больше воды
04.11.2024 07:30:00 | ferra.ru

Сколько стоит ремонт флагманских Xiaomi 15 и 15 Pro
04.11.2024 07:25:21 | ferra.ru

Власти США помогут Intel избежать банкротства
04.11.2024 07:19:21 | ferra.ru

Транзакционный анализ поведения на примере ветки комментариев под статьей на Хабре
04.11.2024 07:16:00 | Хабр

Apple создаст один из лучших чипов для видеоигр уже в 2025 году
04.11.2024 07:13:19 | ferra.ru

Intel Core Ultra 200K провалился в продажах в Германии
04.11.2024 07:07:20 | ferra.ru

PlayStation 5 Pro разобрали — что интересного нашли в новой консоли Sony
04.11.2024 07:01:20 | ferra.ru

Деконструкция локаций
04.11.2024 07:00:56 | Хабр

Бизнес-аналитика: рынок, особенности и неочевидные решения
04.11.2024 07:00:55 | Хабр

[Перевод] Бескамерные обода без бортовых зацепов (Hookless) – на сколько они опасны на самом деле?
04.11.2024 06:57:34 | Хабр

Недельный геймдев: #198 — 3 ноября, 2024
04.11.2024 06:46:20 | Хабр

Смотреть все

НОВОСТИ

Названа получающая 160 тысяч рублей в месяц категория пенсионеров
10.04.2026 21:12:49 | Life.ru

Пакистан заявил, что приложит все усилия для успеха переговоров США и Ирана
10.04.2026 21:11:38 | ТАСС

Дом правительства РФ украсили световым спутником в честь Дня космонавтики
10.04.2026 21:10:39 | ТАСС

Адвокаты Чекалина настаивают на оправдании по делу о фитнес-марафонах
10.04.2026 21:09:47 | Life.ru

ВСУ ударили по грузовику под Шебекино, убиты двое мирных жителей
10.04.2026 21:07:37 | Life.ru

Эксперт Галиев: ОАЭ, КНР и Индия заинтересованы в венчурном финансировании стартапов РФ
10.04.2026 21:06:24 | ТАСС

Россиянам подсказали способ избавиться от запоров за три простых шага
10.04.2026 21:05:17 | Lenta.ru

Букмекеры оценили вероятность появления команды Хайкина в полуфинале ЧМ-2026
10.04.2026 21:04:49 | Lenta.ru

Уточнили механизм быстрого роста доли метана в атмосфере в последние годы
10.04.2026 21:04:34 | ТАСС

Отец Илона Маска признался, что пьёт водку и уже учит русский язык
10.04.2026 21:02:50 | Life.ru

Полиция идентифицировала останки пропавшей 46 лет назад женщины
10.04.2026 21:00:16 | Lenta.ru

CBS: в Калифорнии задержали подозреваемого в поджоге склада бумажной продукции
10.04.2026 20:59:38 | ТАСС

Над Россией с утра сбили четыре беспилотника
10.04.2026 20:58:24 | Коммерсантъ

«Мне стыдно»: Глава МИД Эстонии принёс извинения дипломатам за поведение президента
10.04.2026 20:58:01 | Life.ru

Названа цена самой дешевой студии в популярном у россиян городе-курорте
10.04.2026 20:56:56 | Lenta.ru

Замминистра обороны России провел встречу с военным атташе Мьянмы
10.04.2026 20:55:57 | ТАСС

Открыт способ ускоренного восстановления после инсульта
10.04.2026 20:55:22 | Lenta.ru

Три школы в Дагестане признали непригодными после паводка
10.04.2026 20:54:55 | ТАСС

Unicredit отвергла сообщение о планах по ликвидации Юникредит-банка в России
10.04.2026 20:54:43 | Коммерсантъ

Королеву раскритиковали за похудение на уколах словами «жрать надо меньше»
10.04.2026 20:54:34 | Lenta.ru

Число жертв израильских ударов по Ливану с 2 марта достигло 1 953
10.04.2026 20:54:14 | ТАСС

Отец Маска рассказал об опыте с водкой и мечте искупаться в Волге
10.04.2026 20:52:00 | Lenta.ru

Иранские нефтяники извлекли выгоду из войны на Ближнем Востоке
10.04.2026 20:51:31 | Lenta.ru

General Motors готовит новое поколение Chevrolet Camaro на платформе Cadillac CT5
10.04.2026 20:51:00 | iXBT.com

Старая пиротехника опаснее новой // Взрыв во Владикавказе признали страшной услугой
10.04.2026 20:50:00 | Коммерсантъ

Трам назвал «единственный козырь» Ирана на переговорах
10.04.2026 20:49:55 | Life.ru

Журналисты обнаружили знакомый с ходом мыслей Трампа источник
10.04.2026 20:48:50 | Lenta.ru

Путин уверен, что кинофестиваль "Циолковский" станет важным событием для страны
10.04.2026 20:48:34 | ТАСС

Премьер Пакистана может посетить Россию в июне
10.04.2026 20:47:28 | ТАСС

В российском городе запчасти для ремонта трамваев стали печатать на 3D-принтере
10.04.2026 20:46:26 | Lenta.ru

Защита Чекалина просит его оправдать по делу об афере с деньгами от фитнес-марафонов
10.04.2026 20:46:15 | ТАСС

Во Владикавказе приостановили разбор завалов на месте взрыва на складе пиротехники // Меняйло: имеется риск обрушения здания во Владикавказе после взрыва на складе
10.04.2026 20:45:42 | Коммерсантъ

Bild: большинство немцев считают нереалистичным возвращение 80% сирийцев на родину
10.04.2026 20:45:20 | ТАСС

В КЧР в преддверии Дня космонавтики провели телемост с Героем РФ Артемьевым
10.04.2026 20:45:08 | ТАСС

Aston Martin тестирует одноместный гиперкар в духе «Формулы-1» и Valkyrie AMR Pro
10.04.2026 20:44:00 | iXBT.com

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro