Google ogłosił, że jego badacz podatności na rzecz sztucznej inteligencji, Big Sleep, zidentyfikował i zgłosił 20 wad bezpieczeństwa w różnych popularnych oprogramowania typu open source. Oznacza to pierwszą partię luk odkrytych przez narzędzie oparte na LLM, opracowane przez Departament AI DeepMind i jego elitarnego zespołu hakowania Zero.
Według Heather Adkins, wiceprezesa ds. Bezpieczeństwa Google, początkowe ustalenia Big Sleep były przede wszystkim w oprogramowaniu open source, w tym w bibliotece audio i wideo FFMPEG oraz ImageMagick Suite. Podczas gdy szczegółowe szczegóły dotyczące wpływu i nasilenia tych luk w zabezpieczeniach są obecnie wstrzymywane, w oczekiwaniu na ich poprawki, Google podkreśla znaczenie tych ustaleń jako wskazówkę rosnącej zdolności AI Tools w odkryciu luki w świecie rzeczywistym.
Kimberly Samra, rzecznik Google, wyjaśniła ten proces, stwierdzając: „Aby zapewnić wysokiej jakości i możliwe do działania raporty, przed zgłoszeniem mamy eksperta w pętli, ale każda podatność została znaleziona i powielona przez agenta AI bez interwencji człowieka”. Podkreśla to krok weryfikacji człowieka, aby zapewnić zasadność wad zidentyfikowanych przez A.
Royal Hansen, wiceprezes ds. Inżynierii Google, scharakteryzował osiągnięcia Big Sleep na X jako pokazując „nową granicę w zautomatyzowanym odkryciu podatności”. Pojawienie się narzędzi napędzanych LLM do wykrywania podatności jest rosnącym trendem, a inne znaczące przykłady, w tym Runsybil i Xbow.
Xbow zyskał uwagę za nachylenie amerykańskiej tablicy liderów na platformie Bug Bounty Platforme Hackerone. Podobnie jak wielki sen, wielu z tych łowców błędów napędzanych AI obejmuje weryfikację człowieka w celu potwierdzenia ważności zgłoszonych luk. Vlad Ionescu, współzałożyciel i CTO z Runsybil, chwalił Big Sleep za projekt „legalnego”, przypisując jego wiarygodność „dobrym projektowaniu, ludzie za tym wiedzą, co robią, Project Zero ma doświadczenie w znalezieniu błędów, a Deepmind ma siłę ognia i tokeny do tego”.
Pomimo ogromnej obietnicy te narzędzia AI stanowią również wyzwania. Konserwatorzy oprogramowania wyrazili obawy dotyczące wzrostu „halucynowanych” raportów o błędach wygenerowanych przez AI, które niektórzy porównali się do „AI Slop” w krajobrazie Bug Bounty. Ionescu wcześniej zauważył: „To jest problem, na który wpadają ludzie, czy dostajemy wiele rzeczy, które wyglądają jak złoto, ale to po prostu bzdury”. Podkreśla to ciągłe zapotrzebowanie na ludzkie nadzór w rodzącej się dziedzinie odkrycia podatności na AI.
Source: Debiutów Google AI Bug Hunter z 20 potwierdzonymi lukami
