近日,谷歌旗下的 BigSleep 团队(由 Google DeepMind 与顶尖安全团队 Project Zero 联合组成)宣布了一项网络安全领域的里程碑事件:他们利用大语言模型(LLM)成功在现实世界中广泛使用的软件内,发现了一个极为隐蔽的“0-day漏洞”。这标志着人工智能在软件安全攻防战中,正从辅助编写代码的工具,实质性地向“主动防御专家”的角色转变。
核心事件:AI 跑赢了黑客与传统自动化工具
在网络安全领域,“0-day漏洞”(零日漏洞)指的是软件开发者尚未发现、且目前没有安全补丁的底层系统缺陷。这类漏洞一旦被黑客率先掌握并利用,防守方将面临几乎无法防御的“降维打击”。
此次事件的目标是全球应用极广的数据库引擎 SQLite。在包含漏洞的代码正式发布给用户之前,谷歌的 AI 代理“BigSleep”率先察觉到了一处深层的“栈缓冲区下溢(Stack Buffer Underflow)”漏洞,并协助开发团队在源头完成了修复。
这是历史上首次由 AI 代理在广泛使用的开源软件中,先于人类研究员和自动化工具发现未知漏洞。
技术原理解析:大模型如何“寻找”漏洞?
为了理解这一突破的含金量,我们需要对比传统寻找漏洞的方式:
过去十几年,工业界主要依赖一种叫做“模糊测试”(Fuzzing)的自动化技术。其原理类似于“穷举法”——向程序输入海量、随机的畸形数据,观察程序是否会崩溃。这种方法效率极高,但缺乏对代码逻辑的真正理解,因此很难发现那些需要特定触发条件、隐藏在复杂业务逻辑深处的安全隐患。
而 BigSleep 代表的是一种基于“语义理解”的新范式。大语言模型的介入,让机器具备了类似人类顶尖安全专家的“代码阅读与推理能力”:
1. 上下文理解: AI 能够整体阅读复杂的源代码,理解变量是如何在系统中流转的,以及程序设计的初衷是什么。
2. 逻辑推理与路径追踪: 它不依赖盲目的随机输入,而是针对代码中可能存在逻辑疏漏的特定功能模块,推演出可能导致系统异常的执行路径。
3. 精准验证: 发现可疑点后,大模型能够自动编写特定的测试用例去“触发”该缺陷,提供确凿的漏洞存在证明。这大幅降低了传统工具中常见的大量“误报”,减少了人工排查的成本。
行业影响:防守方的算力反击
这一技术突破的深远意义在于,它正在改变网络安全攻防的“经济学模型”。
当前,黑客组织同样在利用 AI 生成恶意代码或自动化寻找攻击切入点。如果防守方依然只能依靠人力审计和传统的模糊测试,将面临速度与覆盖率的双重劣势。
谷歌 BigSleep 的成功证明:通过部署能够全天候、深层次理解代码的 AI 代理,防守方能够在代码漏洞暴露的“空窗期”内将其扼杀在摇篮中。当 AI 防御的进化速度超越黑客的攻击工具时,挖掘底层漏洞的成本将远高于其带来的非法收益。
结语
寻找底层核心软件的 0-day 漏洞,向来被视为人类智慧与逻辑的顶级博弈,高度依赖安全专家的直觉与经验。今天,人工智能正式拿到了这场高阶博弈的入场券。对于广大科技企业和投资者而言,这是一个明确的信号:引入大模型驱动的深度代码安全审计,将从前沿的探索性尝试,迅速转变为保障数字基础设施安全的底层刚需。
#谷歌AI #0day漏洞 #网络安全 #大语言模型 #智汇矩阵 #前沿技术
