ИИ-агент Big Sleep, созданный Google Project Zero и Google DeepMind в рамках проекта big AI, обнаружил критическую уязвимость в программном обеспечении до его публичного выпуска. Это первый в истории случай, когда ИИ обнаружил дефект безопасности памяти в широко используемом приложении.
Бот занялся анализом движка баз данных с открытым исходным кодом SQLite, где обнаружил критическую ошибку переполнения буфера стека, которую сразу исправили.
Методика заключалась в предоставлении ранее исправленной уязвимости в качестве отправной точки для агента Big Sleep, а затем он отправлялся на поиски аналогичных уязвимостей в других частях программного обеспечения.
Во время поиска похожей уязвимости Big Sleep обнаруживал дефекты и отслеживал шаги, которые он предпринял, чтобы воссоздать уязвимость в тестовом примере, постепенно сужая круг потенциальных причин до одной проблемы и создавая точное резюме уязвимости.
Google Project Zero отмечает, что ранее ошибка не была обнаружена с помощью традиционных методов автоматизированного тестирования (fuzzing).
