Pesquisadores do Google Project Zero e da DeepMind anunciaram a descoberta da primeira vulnerabilidade utilizando um modelo de linguagem de grande porte (LLM). Em um comunicado publicado em 1º de novembro, a equipe revelou que a vulnerabilidade encontrada é um “stack buffer underflow” explorável no SQLite, um popular mecanismo de banco de dados de código aberto.

Trabalhando sob o projeto Big Sleep, os pesquisadores identificaram a falha em outubro, antes de seu lançamento oficial, e imediatamente informaram aos desenvolvedores, que resolveram o problema no mesmo dia. Dessa forma, os usuários do SQLite não foram impactados pela vulnerabilidade, demonstrando a eficiência da colaboração entre o Google Project Zero e a DeepMind.

O projeto Big Sleep é uma extensão dos esforços iniciados pelo Project Zero em 2023, com a criação do Naptime, um framework que permite que um LLM auxilie pesquisadores de vulnerabilidades. A arquitetura desse sistema possibilita a interação entre um agente de IA e um conjunto de ferramentas especializadas, projetadas para imitar o fluxo de trabalho de um pesquisador de segurança em um código-alvo.

Embora os pesquisadores do Big Sleep estejam nos estágios iniciais e tenham alcançado resultados experimentais, eles acreditam que o método possui um “enorme potencial defensivo”. Atualmente, a técnica mais comum de teste de software é o fuzzing, que consiste em fornecer dados inválidos, inesperados ou aleatórios a um programa para monitorar possíveis falhas, como vazamentos de memória ou travamentos. No entanto, o fuzzing falhou em detectar a vulnerabilidade no SQLite devido a configurações específicas e versões de código necessárias para disparar o problema.