L'agent IA de Google découvre une faille critique de SQLite avant exploitation.

HomeNews* Google a utilisé son cadre alimenté par l'IA pour détecter une faille de sécurité majeure dans la base de données SQLite open source avant qu'elle ne soit largement exploitée.

• Le défaut, enregistré sous le nom CVE-2025-6965, est une vulnérabilité de corruption de mémoire affectant les versions antérieures à 3.50.2.
• L'agent IA, nommé "Big Sleep", a identifié la menace, empêchant potentiellement des tentatives actives de l'exploiter.
• Google promeut une approche de sécurité hybride pour les agents d'IA afin d'aider à réduire les risques liés aux vulnérabilités et aux actions malveillantes.
• Ceci marque le premier cas documenté d'un agent IA empêchant une vulnérabilité avant son exploitation dans le monde réel. Le 16 juillet 2025, Google a annoncé que son système de détection des vulnérabilités basé sur l'IA avait identifié une faille critique dans le moteur de base de données SQLite avant que les attaquants ne puissent l'exploiter. La découverte concernait un problème étiqueté CVE-2025-6965 et a été trouvée par "Big Sleep", un agent IA créé grâce à une collaboration entre Google DeepMind et Google Project Zero.

• Publicité - La vulnérabilité a reçu un score CVSS de 7,2, ce qui indique un risque sévère. Selon les responsables du projet SQLite, les attaquants capables d'injecter du code SQL nuisible pourraient provoquer un dépassement d'entier et lire au-delà des limites d'un tableau, entraînant un comportement imprévisible ou des fuites de données. Toutes les versions de SQLite antérieures à 3.50.2 sont concernées.

Google a décrit cette faille de sécurité comme critique, notant que des acteurs malveillants en étaient conscients et auraient pu l'exploiter. « Grâce à la combinaison de l'intelligence sur les menaces et de Big Sleep, Google a pu prédire qu'une vulnérabilité allait être imminemment utilisée et nous avons pu l'arrêter à l'avance, » a déclaré Kent Walker, Président des Affaires Globales chez Google et Alphabet, dans un communiqué officiel. Il a également déclaré : « Nous croyons que c'est la première fois qu'un agent IA a été utilisé pour contrecarrer directement les efforts d'exploitation d'une vulnérabilité dans la nature. »

L'année dernière, Big Sleep a également détecté une vulnérabilité SQLite distincte—un sous-débordement de tampon de pile—qui aurait pu entraîner des plantages ou des attaquants exécutant du code arbitraire. En réponse à ces incidents, Google a publié un livre blanc qui recommande des contrôles humains clairs et des limites opérationnelles strictes pour les agents d'IA.

Google affirme que les contrôles de sécurité logiciels traditionnels ne suffisent pas, car ils ne fournissent pas le contexte nécessaire pour les agents IA. En même temps, une sécurité basée uniquement sur le jugement de l'IA ne fournit pas de garanties solides en raison de faiblesses telles que l'injection de commandes. Pour y remédier, Google utilise une approche multi-couches, appelée « défense en profondeur », qui combine des mesures de protection traditionnelles et des défenses pilotées par l'IA. Ces couches visent à réduire les risques d'attaques, même si le processus interne de l'agent est manipulé par des menaces ou des entrées inattendues.

Articles Précédents :

• Le trader James Wynn revient sur Hyperliquid avec un pari de 20 millions de dollars en Bitcoin
• Le réseau Canton ajoute les meilleures entreprises de liquidité pour le collateral on-chain
• Nexo réduit les taux d'épargne flexibles AXS suite à des changements de protocole
• La DEA saisit 10 millions de dollars dans la cryptomonnaie du cartel de Sinaloa lors de raids antidrogue en Floride
• Hong Kong dévoile le cadre LEAP, établit le livre de règles crypto mondial

• Publicité -