Google vừa công bố phát hiện một lỗ hổng zero-day trong hệ điều hành cơ sở dữ liệu nguồn mở SQLite bằng cách sử dụng một công cụ trí tuệ nhân tạo (AI) lớn mang tên Big Sleep, trước đây được biết đến với tên gọi Project Naptime. Đây là lần đầu tiên AI của Google tìm thấy một lỗi bảo mật bộ nhớ có thể khai thác được trong phần mềm thực tế, theo chia sẻ từ nhóm phát triển Big Sleep trên bài đăng blog của họ.
Lỗ hổng này được xác định là một “stack buffer underflow” trong SQLite, xảy ra khi phần mềm truy cập địa chỉ bộ nhớ trước bắt đầu của bộ đệm, dẫn đến sự cố hệ thống hoặc thực thi mã tùy ý. Theo mô tả về lớp lỗi Common Weakness Enumeration (CWE), điều này thường xảy ra khi một con trỏ hoặc chỉ mục của nó bị giảm đến vị trí trước bộ đệm, thao tác con trỏ dẫn đến vị trí không hợp lệ, hoặc khi chỉ mục âm được sử dụng.
Sau khi báo cáo lỗ hổng một cách có trách nhiệm, vấn đề đã được khắc phục từ đầu tháng 10 năm 2024. Điều đáng chú ý là lỗ hổng được phát hiện trong một nhánh phát triển của thư viện, nghĩa là nó đã được đánh dấu trước khi đi vào phiên bản chính thức.
Project Naptime được Google tiết lộ lần đầu vào tháng 6 năm 2024 như một khung kỹ thuật nhằm nâng cao cách tiếp cận tự động trong việc phát hiện lỗ hổng. Kể từ đó, dự án này đã phát triển thành Big Sleep, là sự hợp tác giữa Google Project Zero và Google DeepMind. Mục tiêu của Big Sleep là tận dụng AI để mô phỏng hành vi của con người khi phát hiện và minh chứng các lỗ hổng bảo mật thông qua khả năng hiểu và phân tích mã của mô hình ngôn ngữ lớn (LLM).
AI của Big Sleep sử dụng một loạt các công cụ chuyên biệt để di chuyển qua mã nguồn mục tiêu, chạy các kịch bản Python trong môi trường hạn chế để tạo đầu vào cho fuzzing, và gỡ lỗi chương trình để quan sát kết quả.
Google nhấn mạnh rằng công việc này có tiềm năng phòng thủ lớn lao. Phát hiện lỗ hổng trong phần mềm trước khi nó được phát hành có nghĩa là không có cơ hội cho kẻ tấn công tận dụng, bởi các lỗ hổng được sửa trước khi kẻ tấn công có cơ hội sử dụng chúng. Tuy nhiên, Google cũng lưu ý rằng những kết quả này vẫn còn mang tính thử nghiệm và hiện tại một công cụ fuzzing cụ thể cho từng mục tiêu có thể sẽ hiệu quả ít nhất.
Một lần nữa, công nghệ AI đã chứng minh khả năng của mình trong bảo mật, mở ra hy vọng mới cho việc phát hiện sớm và ngăn chặn những nguy cơ tiềm ẩn từ phần mềm.