Das Big Sleep-Team von Google deckt erstmals eine Zero-Day-Schwachstelle mithilfe von KI auf.
Update, 5. November 2024: Diese Geschichte, die ursprünglich am 4. November veröffentlicht wurde, enthält nun die Ergebnisse der Forschung zum Einsatz von KI-Deepfakes.
Ein KI-Agent hat eine bisher unbekannte, ausnutzbare Zero-Day-Sicherheitslücke in der Speichersicherheit in weit verbreiteter realer Software entdeckt. Laut Googles Project Zero und DeepMind, den Kräften hinter Big Sleep, dem großsprachlichen modellgestützten Schwachstellenagenten, der die Schwachstelle entdeckt hat, handelt es sich um das erste, zumindest veröffentlichte Beispiel eines solchen Fundes.
Wenn Sie nicht wissen, was Project Zero ist, und nicht beeindruckt waren von dem, was es im Sicherheitsbereich erreicht hat, dann haben Sie in den letzten Jahren einfach nicht aufgepasst. Diese Elite-Hacker und Sicherheitsforscher arbeiten unermüdlich an der Aufdeckung Zero-Day-Schwachstellen in den Produkten von Google und darüber hinaus. Der gleiche Vorwurf der mangelnden Aufmerksamkeit gilt, wenn Sie DeepMind, die KI-Forschungslabore von Google, nicht kennen. Als sich diese beiden Technologiegiganten zusammenschlossen, um Big Sleep zu erschaffen, mussten sie Wellen schlagen.
Google verwendet ein großes Sprachmodell, um Zero-Day-Schwachstellen in realem Code zu erkennen
In einer Ankündigung vom 1. November bestätigte Googles Project Zero-Blog, dass das Projekt Das Naptime-Framework für die Untersuchung großer Sicherheitslücken unterstützte das große Sprachmodell hat sich entwickelt zu Großer Schlaf. Diese gemeinsame Anstrengung, an der einige der besten ethischen Hacker im Rahmen von Project Zero und die besten KI-Forscher im Rahmen von Google DeepMind beteiligt sind, hat einen großen, sprachmodellbasierten Agenten entwickelt, der sehr reale Sicherheitslücken aufdecken kann in weit verbreitetem Code. Im Fall dieser Weltneuheit sagte das Big Sleep-Team, es habe „einen ausnutzbaren Stapelpufferunterlauf in SQLite, einer weit verbreiteten Open-Source-Datenbank-Engine“, gefunden.
Die Zero-Day-Schwachstelle wurde dem SQLite-Entwicklungsteam im Oktober gemeldet, das sie noch am selben Tag behob. „Wir haben dieses Problem entdeckt, bevor es in einer offiziellen Version erschien“, sagte das Big Sleep-Team von Google, „also waren SQLite-Benutzer nicht betroffen.“
KI könnte die Zukunft des Fuzzing sein, sagt das Google Big Sleep-Team
Auch wenn Sie den Begriff „Fuzzing“ vielleicht noch nie gehört haben, gehört er schon seit Jahrzehnten zum festen Bestandteil der Sicherheitsforschung. Unter Fuzzing versteht man die Verwendung zufälliger Daten, um Fehler im Code auszulösen. Obwohl der Einsatz von Fuzzing weithin als unverzichtbares Werkzeug für diejenigen gilt, die nach Schwachstellen im Code suchen, geben Hacker ohne weiteres zu, dass damit nicht alles gefunden werden kann. „Wir brauchen einen Ansatz, der Verteidigern helfen kann, die Fehler zu finden, die durch Fuzzing nur schwer (oder gar nicht) zu finden sind“, sagte das Big Sleep-Team und fügte hinzu, es hoffe, dass KI die Lücke schließen und „Schwachstellen in der Software finden kann, bevor sie überhaupt vorhanden sind“. „freigegeben“ und lässt den Angreifern wenig Spielraum für Angriffe.
„Das Finden einer Schwachstelle in einem weit verbreiteten und gut untersuchten Open-Source-Projekt ist ein aufregendes Ergebnis“, sagte das Google Big Sleep-Team, gab jedoch zu, dass die Ergebnisse derzeit „sehr experimentell“ seien. Derzeit gilt der Big-Sleep-Agent als nur so effektiv wie ein zielspezifischer Fuzzer. Es ist jedoch die nahe Zukunft, die rosig aussieht. „Diese Bemühungen werden den Verteidigern einen erheblichen Vorteil verschaffen“, sagte das Big Sleep-Team von Google, „mit dem Potenzial, nicht nur abstürzende Testfälle zu finden, sondern auch eine qualitativ hochwertige Ursachenanalyse, Triage und Behebung von Problemen bereitzustellen, könnte es viel sein.“ in Zukunft günstiger und effektiver.“
Die Kehrseite der KI zeigt sich in Deepfake-Sicherheitsbedrohungen
Während die Big Sleep-Nachrichten von Google erfrischend und wichtig sind, ebenso wie die aus einem neuen RSA-Bericht wie KI dabei helfen kann, im Jahr 2025 Passwörter abzuschaffensollte immer auch die Kehrseite der KI-Sicherheitsmünze berücksichtigt werden. Eine dieser Kehrseiten ist der Einsatz von Deepfakes. Ich habe bereits erläutert, wie Google-Support-Deepfakes wurden bei einem Angriff gegen einen Gmail-Nutzer eingesetzt Ein Bericht, der aus den richtigen Gründen viral ging. Jetzt hat sich ein Forbes.com-Leser mit mir in Verbindung gesetzt, um mich über einige Untersuchungen zu informieren, die durchgeführt wurden, um zu beurteilen, wie die KI-Technologie zur Beeinflussung der öffentlichen Meinung eingesetzt werden kann. Auch dies habe ich kürzlich als Folgendes behandelt Das FBI hat eine Warnung zu einem Wahlvideo für 2024 herausgegeben Das war tatsächlich eine Fälschung, die von russischen Händlern unterstützt wurde. Das Neueste VPNRanks-Recherche Es lohnt sich auf jeden Fall, es vollständig zu lesen, aber hier sind ein paar handverlesene Statistiken, die sicherlich die grauen Zellen zum Laufen bringen.
- 50 % der Befragten sind bereits mehrfach online auf Deepfake-Videos gestoßen.
- 37,1 % halten Deepfakes für eine äußerst ernsthafte Bedrohung für den Ruf, insbesondere bei der Erstellung gefälschter Videos von Persönlichkeiten des öffentlichen Lebens oder einfachen Menschen.
- Die Besorgnis darüber, dass Deepfakes die öffentliche Meinung manipulieren, ist groß: 74,3 % sind äußerst besorgt über einen möglichen Missbrauch in politischen oder sozialen Kontexten.
- 65,7 % glauben, dass ein im Wahlkampf veröffentlichtes Deepfake wahrscheinlich die Meinung der Wähler beeinflussen würde.
- 41,4 % halten es für äußerst wichtig, dass Social-Media-Plattformen nicht einvernehmliche Deepfake-Inhalte sofort entfernen, sobald sie gemeldet werden.
- Prognosen für das Jahr 2025 gehen davon aus, dass weltweit 50.000 Identitätsbetrugsversuche im Zusammenhang mit Deepfakes ansteigen werden und über 80 % aller Wahlen weltweit durch Deepfake-Eingriffe beeinträchtigt werden könnten, was die Integrität der Demokratie gefährden würde.
