谷歌人工智能代理在被利用之前发现了关键的SQLite漏洞

HomeNews* 谷歌 利用其人工智能驱动的框架，在开源 SQLite 数据库被广泛利用之前，发现了一个重大安全漏洞。

• 此漏洞注册为 CVE-2025-6965，是一个影响 3.50.2 之前版本的内存损坏漏洞。
• 这个名为“Big Sleep”的AI代理识别了威胁，可能阻止了对其进行的主动利用尝试。
• 谷歌 正在推广一种混合安全方法，以帮助减少 AI 代理的漏洞和恶意行为带来的风险。
• 这标志着第一个记录在案的人工智能代理在实际利用之前阻止了一个漏洞的案例。 在2025年7月16日，Google 宣布其基于AI的漏洞检测系统在攻击者能够利用之前，识别出了SQLite数据库引擎中的一个关键缺陷。该发现涉及一个标记为CVE-2025-6965的问题，是通过Google DeepMind与Google Project Zero之间的合作创建的AI代理“Big Sleep”发现的。

• 广告 - 该漏洞的CVSS评分为7.2，表明风险严重。根据SQLite项目维护者的说法，能够注入有害SQL代码的攻击者可能会导致整数溢出并超出数组的限制读取，从而导致不可预测的行为或数据泄露。所有3.50.2之前的SQLite版本均受影响。

谷歌将这一安全漏洞描述为严重，指出威胁行为者对此漏洞有所了解，并可能利用它。“通过威胁情报和大睡眠的结合，谷歌能够实际预测到一个漏洞即将被利用，我们能够提前切断这一漏洞，” 谷歌和字母表的全球事务总裁肯特·沃克在一份官方声明中表示。他还说，“我们相信这是首次有AI代理被用来直接破坏在野外利用漏洞的努力。”

去年，Big Sleep 还发现了一个独立的 SQLite 漏洞——栈缓冲区下溢——这可能导致崩溃或攻击者运行任意代码。对此，谷歌发布了一篇白皮书，建议对 AI 代理进行明确的人类控制和严格的操作边界。

谷歌表示，传统的软件安全控制不足，因为它们没有为AI代理提供所需的上下文。同时，仅依赖AI的判断进行安全防护并不能提供强有力的保障，因为存在像提示注入这样的弱点。为了解决这个问题，谷歌采用了一种多层的“深度防御”方法，结合了传统的安全防护和AI驱动的防御。这些层旨在降低攻击带来的风险，即使代理的内部过程被威胁或意外输入操控。

之前的文章:

• 交易员詹姆斯·温恩以2000万美元的比特币赌注重返Hyperliquid
• Canton Network 增加顶级流动性公司以进行链上抵押
• Nexo 降低 AXS 灵活储蓄利率，因协议变更
• DEA查获了在佛罗里达毒品突袭中Sinaloa贩毒集团的1000万美元加密货币
• 香港推出LEAP框架，制定全球加密货币规则

• 广告 -