[Перевод] Как мы нашли уязвимость в SQLite при помощи LLM

info@vsetut.pro

Стать автором

Вернуться

04.11.2024 10:49:59 | Хабр

Хабы: Информационная безопасность, Отладка, SQLite, Программирование

Введение

В нашем предыдущем посте Project Naptime: Evaluating Offensive Security Capabilities of Large Language Models мы рассказали о фреймворке для исследований уязвимостей при помощи языковых моделей и продемонстрировали его потенциал, усовершенствовав показатели современных бенчмарков CyberSecEval2 компании Meta. С тех пор Naptime эволюционировал в Big Sleep — совместный проект Google Project Zero и Google DeepMind.

Сегодня мы с радостью готовы поделиться первой уязвимостью из реального мира. обнаруженной агентом Big Sleep: отрицательным переполнением (underflow) буфера стека с возможностью реализации эксплойтов в SQLite, — широко используемом опенсорсном движке баз данных. Мы обнаружили уязвимость и сообщили о ней разработчикам в начале октября, и они устранили её в тот же день. К счастью, мы обнаружили эту проблему до её появления в официальном релизе, так что она не затронула пользователей SQLite.

Мы считаем, что это первый публичный пример обнаружения ИИ-агентом ранее неизвестной уязвимости безопасности по памяти в широко используемом реальном ПО. В этом же году на мероприятии DARPA AIxCC команда Team Atlanta обнаружила разыменование нулевого указателя в SQLite, что вдохновило нас использовать его в нашем тестировании, чтобы проверить, сможем ли мы найти более серьёзную уязвимость.

Мы считаем, что наша работа обладает огромным защитным потенциалом. Нахождение уязвимостей в ПО ещё до его релиза не позволит нападающим пользоваться ими: уязвимости устраняются ещё до того, как их увидят злоумышленники. Очень сильно помог в поиске уязвимостей фаззинг, но нам нужна методика, позволяющая защищающимся находить баги, которые сложно (или невозможно) обнаруживать фаззингом, и мы надеемся, что ИИ позволит закрыть этот пробел. Мы считаем, что это многообещающий путь к полному изменению ситуации в кибербезопасности и обеспечению асимметричного преимущества для защищающихся.

Сама уязвимость довольно любопытна, к тому же существующая инфраструктура тестирования SQLite (и через OSS-Fuzz, и через собственную инфраструктуру проекта) не обнаружила проблему, так что мы провели дополнительное исследование.

Подробнее

Читайте также

CryptoHack. Решение ECB Oracle
04.11.2024 10:41:56 | Хабр

Электромобиль на солнечных панелях прошел первые тесты
04.11.2024 10:30:53 | ferra.ru

Экономика и Монетизация игр: Краткое руководство
04.11.2024 10:08:18 | Хабр

Не удержался. Ответ на статью про «где лучше платят»
04.11.2024 10:02:45 | Хабр

Ctrl+S для Kubernetes: Volume Snapshots
04.11.2024 10:01:38 | Хабр

От основ нейросетей до дизайнерских белков: ИИ в Нобелевских премиях 2024 года
04.11.2024 10:00:34 | Хабр

Развенчаны популярные мифы о замораживании продуктов
04.11.2024 09:45:00 | ferra.ru

[Перевод] После паузы Voyager 1 вышел на связь с командой миссии
04.11.2024 09:43:25 | Хабр

Ядерные реакторы для космоса. Возвращение
04.11.2024 09:01:26 | Хабр

Раскрыта польза сардин для здоровья человека
04.11.2024 09:00:00 | ferra.ru

Поиск торговой идеи с помощью ChatGPT и Claude: от данных до бэктеста
04.11.2024 08:48:24 | Хабр

Недостижимая планка, или достижимая?
04.11.2024 08:40:10 | Хабр

Selectel School 2.0: как мы перезапустили курс для системных инженеров
04.11.2024 08:29:03 | Хабр

OpenAI: ИИ чаще придумывает ответы, чем отвечает по существу
04.11.2024 08:20:28 | ferra.ru

Учёные рассказали, как можно преодолеть зависимость от цифровых устройств
04.11.2024 08:15:00 | ferra.ru

Космический сплав будущего создали при помощи 3D-печати
04.11.2024 08:09:27 | ferra.ru

JavaScript: структуры данных и алгоритмы. Часть 6
04.11.2024 08:05:19 | Хабр

MacBook Pro в новом дизайне выйдет в 2026 году
04.11.2024 08:02:26 | ferra.ru

Путь к геометрии Лобачевского 5: модель Пуанкаре в круге
04.11.2024 08:00:17 | Хабр

Обновлен топ-10 Android-смартфонов по версии AnTuTu
04.11.2024 07:54:25 | ferra.ru

Названы 7 лучших лопатофонов на конец 2024 года
04.11.2024 07:47:24 | ferra.ru

Apple захотела купить Intel
04.11.2024 07:40:24 | ferra.ru

Ошибка ценой в 50 лет: как Intel потеряла корону в процессорной гонке
04.11.2024 07:35:24 | Хабр

Раскрыты цены флагманских Nothing Phone (3) и Phone (3) Pro
04.11.2024 07:32:23 | ferra.ru

Названы признаки того, что вам нужно пить больше воды
04.11.2024 07:30:00 | ferra.ru

Сколько стоит ремонт флагманских Xiaomi 15 и 15 Pro
04.11.2024 07:25:21 | ferra.ru

Власти США помогут Intel избежать банкротства
04.11.2024 07:19:21 | ferra.ru

Транзакционный анализ поведения на примере ветки комментариев под статьей на Хабре
04.11.2024 07:16:00 | Хабр

Apple создаст один из лучших чипов для видеоигр уже в 2025 году
04.11.2024 07:13:19 | ferra.ru

Intel Core Ultra 200K провалился в продажах в Германии
04.11.2024 07:07:20 | ferra.ru

PlayStation 5 Pro разобрали — что интересного нашли в новой консоли Sony
04.11.2024 07:01:20 | ferra.ru

Деконструкция локаций
04.11.2024 07:00:56 | Хабр

Бизнес-аналитика: рынок, особенности и неочевидные решения
04.11.2024 07:00:55 | Хабр

[Перевод] Бескамерные обода без бортовых зацепов (Hookless) – на сколько они опасны на самом деле?
04.11.2024 06:57:34 | Хабр

Недельный геймдев: #198 — 3 ноября, 2024
04.11.2024 06:46:20 | Хабр

Смотреть все

НОВОСТИ

Bild: в Гамбурге задержали школьника, вооруженного ножом
09.04.2026 16:11:44 | ТАСС

«Привет, молочницы!» Полуголые уфимки прокатились на капоте авто и стали звёздами
09.04.2026 16:11:00 | Life.ru

Крымчанин с двойным гражданством отправится в тюрьму на 17 лет за госизмену
09.04.2026 16:10:49 | Life.ru

Крикалев призвал обеспечить непрерывность пилотируемых миссий
09.04.2026 16:10:20 | ТАСС

Названа причина заболевания жителей Мурома, где произошла вспышка инфекции
09.04.2026 16:10:09 | ТАСС

Эксперт Рулевский: передовые инженерные школы определяют будущее космической отрасли
09.04.2026 16:09:55 | ТАСС

В парламенте Италии указали на противоречия указаний ЕС
09.04.2026 16:09:52 | ТАСС

Девушка со стандартным размером одежды разрыдалась после посещения свадебного салона
09.04.2026 16:09:13 | Lenta.ru

Politico: Более трети европейцев считают США угрозой
09.04.2026 16:09:00 | Российская Газета

Пентагон: США сохраняют военное присутствие возле Ирана
09.04.2026 16:08:45 | ТАСС

Двухлетний ребенок оказался в больнице после купания в бассейне на курорте
09.04.2026 16:08:11 | Lenta.ru

ТАСС: Иран будет пропускать через Ормузский пролив не более 15 судов в день
09.04.2026 16:08:00 | Российская Газета

В Поморье район Онеги остался без транспортного сообщения
09.04.2026 16:07:47 | ТАСС

«Он сеет хаос»: ЕС берёт курс на открытую конфронтацию с Трампом
09.04.2026 16:07:43 | Life.ru

Mirror: в ФРГ школьников будут чаще отправлять на экскурсии в концлагеря
09.04.2026 16:07:24 | ТАСС

«Хороший мальчик» на службе: Как вести себя при встрече с поисковой собакой в лесу
09.04.2026 16:06:55 | Life.ru

Зеленский анонсировал поездку команды Трампа в Москву после визита в Киев
09.04.2026 16:06:04 | Lenta.ru

ТАСС: жалоб на заражение кишечной инфекцией из соцучреждений Мурома нет
09.04.2026 16:05:41 | ТАСС

Силуанов: автоматический обмен информацией ЦБ и ФНС обеспечит "прозрачность" 99% платежей
09.04.2026 16:03:49 | ТАСС

«Радиостанция Судного дня» передала прилагательное
09.04.2026 16:03:32 | Lenta.ru

Силуанов призвал внедрять ИИ для повышения эффективности налогового администрирования
09.04.2026 16:03:17 | ТАСС

Эксперт Пономаренко назвал ключевые группы специалистов-инженеров для космоса
09.04.2026 16:03:15 | ТАСС

Не в Киеве: Кулеба раскрыл, где прятался украинский кабмин после начала СВО
09.04.2026 16:02:49 | Life.ru

Полиция установила обращавшихся за личными данными к незаконным информационным ресурсам
09.04.2026 16:02:24 | Lenta.ru

В Муроме проведут дезинфекцию автобусов после вспышки кишечной инфекции
09.04.2026 16:01:54 | ТАСС

Международные резервы РФ за неделю выросли на $12,1 млрд
09.04.2026 16:01:51 | ТАСС

В Черкесске ветерана Великой Отечественной войны поздравили со 100-летием
09.04.2026 16:01:50 | ТАСС

В Забайкалье педагогам выплатили более 20 млн рублей задолженности
09.04.2026 16:01:15 | ТАСС

Глава МИД Китая заявил о готовности укреплять связи с КНДР
09.04.2026 16:01:09 | ТАСС

Умер первый чемпион мира в метании диска
09.04.2026 16:00:29 | РБК

Силуанов: поступления в бюджет России от ФНС в 2026 году идут в рамках плана
09.04.2026 16:00:22 | ТАСС

Умер актер из сериалов «Улицы разбитых фонарей» и «Закон тайги»
09.04.2026 15:59:57 | РБК

Российские звезды рассказали о подготовке к дачному сезону
09.04.2026 15:59:22 | Lenta.ru

В Европе испугались возможных действий США по Украине
09.04.2026 15:59:00 | Lenta.ru

В Поморье решают вопрос допуска "Севералмаза" к электросетям региона
09.04.2026 15:58:57 | ТАСС

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro