Google mengatakan mereka menemukan kerentanan zero-day di mesin database sumber terbuka SQLite menggunakan kerangka kerja berbantuan model bahasa besar (LLM) yang disebut Tidur nyenyak (sebelumnya Project Naptime).
Raksasa teknologi tersebut menggambarkan perkembangan tersebut sebagai “kerentanan pertama di dunia nyata” yang terungkap menggunakan agen kecerdasan buatan (AI).
“Kami yakin ini adalah contoh publik pertama dari agen AI yang menemukan masalah keamanan memori yang sebelumnya tidak diketahui dan dapat dieksploitasi dalam perangkat lunak dunia nyata yang banyak digunakan,” kata tim Big Sleep dalam postingan blog yang dibagikan kepada The Hacker News.
Kerentanan yang dimaksud adalah tumpukan buffer underflow di SQLite, yang terjadi ketika perangkat lunak mereferensikan lokasi memori sebelum buffer memori dimulai, sehingga mengakibatkan crash atau eksekusi kode arbitrer.
“Ini biasanya terjadi ketika sebuah pointer atau indeksnya diturunkan ke posisi sebelum buffer, ketika aritmatika pointer menghasilkan posisi sebelum awal lokasi memori yang valid, atau ketika indeks negatif digunakan,” menurut Common Weakness Enumeration (CWE) deskripsi kelas bug.
Setelah pengungkapan yang bertanggung jawab, kekurangan tersebut telah diatasi pada awal Oktober 2024. Perlu dicatat bahwa cacat tersebut ditemukan di cabang pengembangan perpustakaan, yang berarti kelemahan tersebut ditandai sebelum dirilis secara resmi.
Project Naptime pertama kali dirinci oleh Google pada Juni 2024 sebagai kerangka teknis untuk meningkatkan pendekatan penemuan kerentanan otomatis. Sejak itu berkembang menjadi Big Sleep, sebagai bagian dari kolaborasi yang lebih luas antara Google Project Zero dan Google DeepMind.
Dengan Big Sleep, idenya adalah memanfaatkan agen AI untuk mensimulasikan perilaku manusia saat mengidentifikasi dan menunjukkan kerentanan keamanan dengan memanfaatkan pemahaman kode dan kemampuan penalaran LLM.
Hal ini memerlukan penggunaan serangkaian alat khusus yang memungkinkan agen menavigasi basis kode target, menjalankan skrip Python di lingkungan sandbox untuk menghasilkan masukan untuk fuzzing, dan men-debug program serta mengamati hasilnya.
“Kami pikir pekerjaan ini memiliki potensi pertahanan yang luar biasa. Menemukan kerentanan dalam perangkat lunak bahkan sebelum dirilis, berarti tidak ada ruang bagi penyerang untuk bersaing: kerentanan diperbaiki bahkan sebelum penyerang sempat menggunakannya,” kata Google.
Namun perusahaan tersebut juga menekankan bahwa ini masih merupakan hasil percobaan, dan menambahkan “posisi tim Big Sleep adalah bahwa saat ini, kemungkinan besar fuzzer yang spesifik target setidaknya akan sama efektifnya (dalam menemukan kerentanan).”