科技汇总
谷歌宣布,他们首次利用名为“Big Sleep”的大型语言模型(LLM)代理发现了一个广泛使用软件中的新型可利用内存漏洞。该漏洞位于流行的开源数据库引擎SQLite的开发版本中,由Big Sleep通过变种分析发现。 Big Sleep是谷歌Project Zero与谷歌DeepMind合作的成果,旨在让LLM自主进行基本的漏洞研究。该框架为LLM提供测试软件潜在缺陷的工具,包括代码浏览器、调试器、报告工具和运行Python脚本的沙盒环境。 研究人员让Gemini 1.5 Pro驱动的AI代理以先前的SQLite漏洞为起点,通过查阅新的提交消息和代码变化,审查SQLite代码库中未解的问题。最终,Big Sleep识别出一个与函数“seriesBestIndex”处理特殊哨兵值-1不当相关的漏洞。 由于该字段通常应为非负值,因此所有与此字段交互的代码必须设计为正确处理这一独特情况,然而seriesBestIndex未能做到这一点,导致堆栈缓冲区下溢。
