A través del blog de su división especializada en ciberseguridad, Project Zero, Google ha revelado el descubrimiento del primer fallo de seguridad real encontrado por un agente de inteligencia artificial. El fallo, un desbordamiento de búfer de pila explotable en SQLite (una base de datos de código abierto ampliamente utilizada), fue detectado por Big Sleep, una herramienta de investigación de vulnerabilidades asistida por IA desarrollada conjuntamente por Google Project Zero y Google DeepMind.

• La IA de Google identificó una vulnerabilidad crítica en SQLite, permitiendo la corrección antes de que fuera explotada

Este avance marca un hito importante en el campo de la ciberseguridad, pues demuestra el potencial de la IA para identificar vulnerabilidades críticas antes de que puedan ser explotadas por actores maliciosos. El fallo se descubrió a principios de octubre y se reportó a los desarrolladores de SQLite, quienes lo corrigieron el mismo día, evitando que los usuarios se vieran afectados.

Project Zero y Google Deepmind usan "Big Sleep" para detectar amenazas

El descubrimiento se basa en la investigación previa de Project Zero sobre las capacidades de defensa de los modelos lingüísticos de gran tamaño en la ciberseguridad. Dicha investigación, denominada Project Naptime, ha dado como resultado la herramienta Big Sleep.

Big Sleep es un agente de IA que se centra en el análisis de variantes de vulnerabilidades previamente encontradas y parcheadas, ya que los atacantes a menudo explotan variaciones de vulnerabilidades conocidas con el objetivo de llevar a cabo sus ataques.

Para encontrar el fallo, los investigadores proporcionaron a Big Sleep un punto de partida, como los detalles de una vulnerabilidad corregida anteriormente, y le pidieron que revisara el repositorio actual de SQLite en busca de problemas relacionados. En este caso, el agente recibió un commit que introdujo una mejora significativa en el manejo de las cláusulas WHERE en las consultas de tablas virtuales.

Tras un análisis exhaustivo, Big Sleep identificó una condición que no se manejaba correctamente cuando se procesaba una consulta. Esto abría la puerta a la escritura fuera de los límites del búfer de la pila, lo cual conducía a una condición potencialmente explotable.

Aunque el caso de reproducción del fallo parece simple en retrospectiva, la configuración de las herramientas de fuzzing tradicionales, como OSS-Fuzz, impidió que se descubriera antes.

El fuzzing, por otro lado, es una técnica automatizada que consiste en introducir datos aleatorios o inválidos en un programa para intentar provocar fallos o comportamientos inesperados. Es una técnica muy utilizada para encontrar vulnerabilidades de seguridad, pero como se ha demostrado en este caso, puede no ser suficiente para encontrar todas las vulnerabilidades, especialmente aquellas que se esconden en casos especiales.

La IA, el complemento perfecto a las técnicas tradicionales para proteger al usuario

Con su capacidad de analizar código y comprender las relaciones entre diferentes partes del programa, la inteligencia artificial tiene el potencial de complementar el fuzzing y descubrir vulnerabilidades que de otro modo pasarían desapercibidas

El equipo de Big Sleep reconoce que este es un resultado altamente experimental y que los fuzzers podrían ser igualmente efectivos en la actualidad. Sin embargo, el descubrimiento del fallo de SQLite demuestra el potencial de la IA para revolucionar la seguridad defensiva al identificar y corregir vulnerabilidades antes de que puedan ser explotadas.

No obstante, Project Zero y el equipo de Big Sleep tienen como objetivo continuar su investigación en este ámbito, compartiendo sus hallazgos y trabajando para reducir la brecha entre las técnicas públicas y las privadas empleadas en la investigación de vulnerabilidades. Su objetivo final es hacer que los ataques de día cero sean mucho más difíciles de llevar a cabo.

Fuentes:

https://www.lavanguardia.com/andro4all/google/google-revela-el-primer-fallo-de-seguridad-descubierto-gracias-a-la-inteligencia-artificial