Uno de los importantes proyectos de inteligencia artificial de Google detectó por sí solo serias amenazas de seguridad.
Big Sleep logra descubrir por sí mismo la seguridad en la memoria.
Un proyecto colaborativo entre Google Project Zero y Google DeepMind ha llevado a cabo un análisis que ha resultando en la detección de una vulnerabilidad crítica en un software antes de su lanzamiento público. El agente de inteligencia artificial conocido como Big Sleep se encargó de examinar el motor de base de datos de código abierto SQLite y logró identificar un fallo de subdesbordamiento en el búfer de la pila, el cual fue corregido el mismo día de su hallazgo. Este avance podría establecer un precedente, ya que significaría la primera vez que una inteligencia artificial detecta un fallo relacionado con la seguridad de la memoria en una aplicación ampliamente utilizada.
Durante el proceso, Big Sleep pasó por un método llamado fuzzing, que permite realizar pruebas automatizadas en el software para buscar fallos o vulnerabilidades –típicamente aquellos que son aprovechados por atacantes–. Aunque el fuzzing es una técnica útil, no garantiza que se descubran todos los problemas, ya que una vulnerabilidad encontrada y corregida podría existir en otras formas dentro del software, permaneciendo sin ser detectada.
Google proporcionó al agente Big Sleep una vulnerabilidad previamente corregida como punto de partida para buscar vulnerabilidades similares dentro del software. A medida que Big Sleep exploraba, fue capaz de reproducir el error en un caso de prueba, acotando las posibles causas a un único problema y formulando un resumen preciso de la vulnerabilidad.
La vulnerabilidad no había sido detectada anteriormente con técnicas de fuzzing tradicionales debido a que la configuración utilizada no permitía el acceso a las mismas extensiones. De hecho, cuando se repitió el fuzzing con la configuración correcta, la vulnerabilidad siguió sin ser descubierta, a pesar de haber consumido 150 horas de CPU en el proceso.
Desde el equipo de Big Sleep expresaron su optimismo: "Esperamos que en el futuro este esfuerzo otorgue una ventaja significativa a los defensores, no solo para encontrar casos de prueba que causan fallos, sino también para proporcionar análisis de causas raíz de alta calidad; así, el proceso de gestión y resolución de problemas podría ser mucho más económico y efectivo". Además, manifestaron su intención de seguir compartiendo sus investigaciones para cerrar la brecha entre los avances públicos y los desarrollos privados en este ámbito.
