Ciberseguridad 360 | Herramienta de IA de Google descubre falla de día cero en SQLite

Google ha comunicado que ha descubierto una vulnerabilidad de d�a cero en el motor de base de datos de c�digo abierto SQLite utilizando su marco de trabajo asistido por modelos de grandes lenguajes (LLM) llamado Big Sleep (antes Proyecto Naptime).

El gigante tecnol�gico describi� el hecho como la �primera vulnerabilidad del mundo real� descubierta utilizando el agente de inteligencia artificial (IA).

�Creemos que este es el primer ejemplo p�blico de un agente de IA que encuentra un problema de seguridad de memoria explotable desconocido hasta ahora en un software de uso generalizado en el mundo real�, afirma el equipo de Big Sleep en una entrada de blog compartida.

La vulnerabilidad en cuesti�n es un desbordamiento del b�fer de pila en SQLite, que se produce cuando un programa hace referencia a una posici�n de memoria antes del comienzo del b�fer de memoria, lo que provoca un bloqueo o la ejecuci�n de c�digo arbitrario.

�Esto suele ocurrir cuando un puntero o su �ndice se decrementa hasta una posici�n anterior al b�fer, cuando la aritm�tica de punteros da como resultado una posici�n anterior al comienzo de la ubicaci�n de memoria v�lida o cuando se utiliza un �ndice negativo�, seg�n una descripci�n de la clase de fallo de la Enumeraci�n de Debilidades Comunes (CWE).

Tras la revelaci�n responsable, el fallo se ha solucionado a principios de octubre de 2024. Cabe se�alar que el fallo se descubri� en una rama de desarrollo de la biblioteca, lo que significa que se detect� antes de que llegara a la versi�n oficial.

El Proyecto Naptime fue detallado por primera vez por Google en junio de 2024 como un marco t�cnico para mejorar los enfoques automatizados de descubrimiento de vulnerabilidades. Desde entonces ha evolucionado hasta convertirse en Big Sleep, como parte de una colaboraci�n m�s amplia entre Google Project Zero y Google DeepMind.

Con Big Sleep, la idea es aprovechar un agente de IA para simular el comportamiento humano a la hora de identificar y demostrar vulnerabilidades de seguridad aprovechando las capacidades de comprensi�n de c�digo y razonamiento de un LLM.

Esto implica el uso de un conjunto de herramientas especializadas que permiten al agente navegar a trav�s del c�digo base objetivo, ejecutar scripts de Python en un entorno aislado para generar entradas para el fuzzing, y depurar el programa y observar los resultados.

�Creemos que este trabajo tiene un enorme potencial defensivo. Encontrar vulnerabilidades en el software antes incluso de que se publique significa que no hay margen para que los atacantes compitan: las vulnerabilidades se solucionan antes incluso de que los atacantes tengan la oportunidad de utilizarlas�, declar� Google.

No obstante, la empresa tambi�n ha subrayado que se trata a�n de resultados experimentales, y ha a�adido que �la posici�n del equipo de Big Sleep es que, en la actualidad, es probable que un fuzzer espec�fico para un objetivo sea al menos igual de eficaz (a la hora de encontrar vulnerabilidades).�

Fuente: thehackernews