GoogleProject Zero, un equipo de analistas de seguridad, ha introducido un nuevo marco que tiene como objetivo mejorar la búsqueda automatizada de vulnerabilidades utilizando grandes modelos de lenguaje.
Proyecto de la hora de la siesta Utiliza IA para replicar los enfoques metodológicos utilizados por los investigadores de seguridad humana para reducir parte de la presión sobre una fuerza laboral que ya está estresada.
La iniciativa recibe su nombre de su capacidad de permitir que los trabajadores humanos “tomen siestas regularmente” mientras la IA maneja complejas tareas de escaneo de vulnerabilidades.
Google revela detalles del proyecto Naptime
“Naptime utiliza una arquitectura especializada para mejorar la capacidad de LLM para realizar investigaciones de vulnerabilidades”, señalaron Sergey Glazunov y Mark Brand de Google Project Zero.
Los componentes clave de la arquitectura Naptime incluyen una herramienta de exploración de código que permite a un agente de IA navegar por la base del código de destino, de forma similar a cómo los ingenieros utilizan la búsqueda de código Chromium; Una herramienta Python que permite ejecutar scripts Python en entornos aislados y un depurador que monitorea el comportamiento del programa con diferentes entradas; Y una herramienta de reportero que monitorea el progreso de la misión y verifica las condiciones de éxito.
“Naptime permite al titular de un LLM realizar investigaciones de vulnerabilidades que imitan fielmente el enfoque iterativo basado en hipótesis de los expertos en seguridad humana”, agregaron Glazunov y Brand.
En las pruebas realizadas con el conjunto de pruebas CyberSecEval 2, lanzado por la empresa de tecnología rival Meta, Naptime mostró mejoras significativas en la identificación de desbordamientos de búfer y fallas avanzadas de corrupción de memoria en código C y C++.
Aunque se encuentra en sus primeras etapas, el proyecto Google Naptime representa un importante paso adelante en la investigación automatizada de vulnerabilidades, que puede ayudar a reducir las brechas que dejan los enfoques tradicionales y al mismo tiempo abordar la persistente escasez de habilidades.