Google ha lanzado Proyecto Naptime, que permite que un modelo de lenguaje grande (LLM) realice investigaciones de vulnerabilidad. Este proyecto se enfoca en la interacción entre un agente de IA y una base de código, que imita el flujo de trabajo de un investigador de seguridad humano. Esta iniciativa permite que los humanos «realicen siestas regulares» mientras ayuda con la investigación de vulnerabilidades y el análisis de variantes de forma automatizada.
Incluye herramientas especializadas como una herramienta de navegación de código, una herramienta de Python para ejecutar scripts en un entorno controlado, una herramienta de depuración y una herramienta de reporte. Google afirma que Naptime es también agnóstico del modelo y de backend, además de ser mejor para detectar desbordamiento de búfer y fallas avanzadas de corrupción de memoria, según los benchmarks de CYBERSECEVAL 2, lanzado el pasado abril por investigadores de Meta.
En pruebas realizadas por Google, Naptime logró nuevas puntuaciones máximas de 1.00 y 0.76 para detectar y explotar las fallas, frente a 0.05 y 0.24 para OpenAI GPT-4 Turbo. Los investigadores afirmaron que «Esta arquitectura no solo mejora la capacidad del agente para identificar y analizar vulnerabilidades, sino que también garantiza que los resultados sean precisos y reproducibles.»
Vía The Hacker News
