Source: Slashdot
谷歌宣布,他们首次利用名为“Big Sleep”的大型语言模型(LLM)代理发现了一个广泛使用软件中的新型可利用内存漏洞。该漏洞位于流行的开源数据库引擎SQLite的开发版本中,由Big Sleep通过变种分析发现。
Big Sleep是谷歌Project Zero与谷歌DeepMind合作的成果,旨在让LLM自主进行基本的漏洞研究。该框架为LLM提供测试软件潜在缺陷的工具,包括代码浏览器、调试器、报告工具和运行Python脚本的沙盒环境。
研究人员让Gemini 1.5 Pro驱动的AI代理以先前的SQLite漏洞为起点,通过查阅新的提交消息和代码变化,审查SQLite代码库中未解的问题。最终,Big Sleep识别出一个与函数“seriesBestIndex”处理特殊哨兵值-1不当相关的漏洞。
由于该字段通常应为非负值,因此所有与此字段交互的代码必须设计为正确处理这一独特情况,然而seriesBestIndex未能做到这一点,导致堆栈缓冲区下溢。
技术的进步是否总能带来安全的提升,还是会留下新的隐患?
特别声明:本文及配图均为用户上传或者转载,本文仅代表作者个人观点和立场,不代表平台观点。其原创性以及文中陈述文字和内容未经本站证实,
对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本平台不作任何保证或承诺,请读者仅作参考,
并请自行核实相关内容。如发现稿件侵权,或作者不愿在本平台发布文章,请版权拥有者通知本平台处理。
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios)
posted above belong to the User who shared or the third-party website which the User shared from.
If you found your copyright have been infringed, please send a DMCA takedown notice to
info@microheadline.com
来源:https://tech.slashdot.org/story/24/11/05/1532207/googles-big-sleep-llm-agent-discovers-exploitable-bug-in-sqlite?utm_source=rss1.0mainlinkanon&utm_medium=feed
