구글의 프로젝트 제로와 딥마인드의 협력으로 이루어진 '빅 AI' 프로젝트가 공개 전 소프트웨어에서 심각한 취약점을 발견함.
빅 슬립은 SQLite 오픈 소스 데이터베이스 엔진을 분석하던 중 스택 버퍼 언더플로우 결함을 발견했으며, 이는 같은 날 패치됨.
이 발견은 AI가 널리 사용되는 애플리케이션에서 메모리 안전성 결함을 발견한 최초의 사례로 기록될 가능성이 있음.
빅 슬립은 여러 번 '퍼징'된 SQLite에서 스택 버퍼 언더플로우 취약점을 발견함. 퍼징은 메모리 안전성 문제와 같은 잠재적 결함이나 취약점을 발견할 수 있는 자동화된 소프트웨어 테스트 방법임.
하지만 퍼징은 결코 완벽한 취약점 탐지 방법이 아니며, 발견되고 패치된 퍼징 취약점이 소프트웨어의 다른 곳에 변형된 형태로 존재할 수 있음.
구글은 이 경우, 이전에 패치된 취약점을 시작점으로 제공하고 빅 슬립 에이전트를 비슷한 취약점을 찾도록 설정함. 빅 슬립은 유사한 취약점을 찾는 과정에서 취약점을 발견하고, 이를 재현하기 위한 테스트 케이스를 추적함.
구글 프로젝트 제로는 이 버그가 전통적인 퍼징 기법으로는 발견되지 않았다고 지적함. 퍼징 하네스가 동일한 확장에 접근하도록 구성되지 않았기 때문임. 그러나 동일한 구성으로 퍼징을 다시 실행했을 때, 150 CPU 시간 동안 퍼징했음에도 불구하고 취약점은 발견되지 않음.
빅 슬립 팀은 "앞으로 이 노력이 방어자에게 상당한 이점을 가져다주기를 희망함. 충돌 테스트 케이스를 찾는 것뿐만 아니라, 고품질의 근본 원인 분석, 문제 분류 및 수정이 훨씬 저렴하고 효과적일 수 있음"이라고 말함. "우리는 이 분야에서 연구를 계속 공유할 것이며, 공공의 최신 기술과 민간의 최신 기술 간의 격차를 가능한 한 작게 유지하는 것을 목표로 함."
