Google AI Agent が悪用前に重大な SQLite の欠陥を発見

2025-07-16 16:34:22

ホームニュース* Google は、オープンソースのSQLiteデータベースで広く悪用される前に、重大なセキュリティの欠陥を見つけるためにAI駆動のフレームワークを使用しました。

この欠陥は、CVE-2025-6965として登録されており、3.50.2以前のバージョンに影響を与えるメモリ破損の脆弱性です。
AIエージェント「ビッグスリープ」は脅威を特定し、潜在的にそれを悪用しようとする試みを阻止しました。
Google は、AI エージェントの脆弱性や悪意のある行動からのリスクを軽減するために、ハイブリッドセキュリティアプローチを推進しています。
これは、AIエージェントが実世界での悪用の前に脆弱性を止めた最初の文書化されたケースです。 2025年7月16日、Googleは、そのAIベースの脆弱性検出システムが攻撃者がそれを悪用する前にSQLiteデータベースエンジンの重大な欠陥を特定したと発表しました。この発見はCVE-2025-6965というラベルが付けられた問題に関するもので、Google DeepMindとGoogle Project Zeroの協力によって作成されたAIエージェント「Big Sleep」によって発見されました。

広告 - この脆弱性はCVSSスコア7.2を受けており、重大なリスクを示しています。SQLiteプロジェクトのメンテナーによると、有害なSQLコードを注入できる攻撃者は、整数オーバーフローを引き起こし、配列の限界を超えて読み取ることができるため、予測不可能な動作やデータ漏洩を引き起こす可能性があります。SQLiteのバージョン3.50.2以前はすべて影響を受けます。

Googleはこのセキュリティの脆弱性を重大なものと説明し、脅威の行為者がそれを認識しており、悪用する可能性があることに注意を促しました。「脅威インテリジェンスとビッグスリープの組み合わせを通じて、Googleは実際に脆弱性が差し迫って使用されることを予測し、事前にそれを阻止することができました」と、GoogleおよびAlphabetのグローバル affairsの社長ケント・ウォーカーは公式声明で述べました。彼はまた、「これはAIエージェントが脆弱性を悪用する試みを直接阻止するために使用された初めての例だと考えています。」*

昨年、Big Sleepは別のSQLiteの脆弱性も検出しました。これはスタックバッファアンダーフローであり、クラッシュや攻撃者による任意のコードの実行につながる可能性がありました。これらの事件を受けて、GoogleはAIエージェントのために明確な人間の制御と厳格な運用境界を推奨するホワイトペーパーを発表しました。

Googleは、従来のソフトウェアセキュリティコントロールだけでは不十分であり、AIエージェントに必要なコンテキストを提供しないと述べています。同時に、AIの判断にのみ基づくセキュリティは、プロンプトインジェクションのような弱点のために強力な保証を提供しません。これに対処するために、Googleは従来の保護策とAI駆動の防御を組み合わせたマルチレイヤーの「深層防御」アプローチを採用しています。これらのレイヤーは、エージェントの内部プロセスが脅威や予期しない入力によって操作されても、攻撃からのリスクを軽減することを目的としています。

####前の記事: