A Google desenvolveu um novo framework chamado Project Naptime, que permite a um modelo de linguagem de grande porte (LLM) realizar pesquisas de vulnerabilidades com o objetivo de melhorar as abordagens de descoberta automatizada. “A arquitetura do Naptime é centrada na interação entre um agente de IA e uma base de código alvo,” disseram os pesquisadores do Google Project Zero, Sergei Glazunov e Mark Brand.
“A iniciativa recebeu esse nome porque permite que os humanos ‘tirem cochilos regulares’ enquanto a IA auxilia na pesquisa de vulnerabilidades e automatiza a análise de variantes. O objetivo central é aproveitar os avanços na compreensão de código e na capacidade de raciocínio geral dos LLMs, permitindo que eles repliquem o comportamento humano na identificação e demonstração de vulnerabilidades de segurança.
O projeto inclui vários componentes, como uma ferramenta de Navegação de Código que permite ao agente de IA navegar pela base de código alvo, uma ferramenta Python para executar scripts Python em um ambiente isolado para fuzzing, uma ferramenta de Depuração para observar o comportamento do programa com diferentes entradas e uma ferramenta de Relatórios para monitorar o progresso de uma tarefa.