Google объявил, что его исследователь уязвимости на основе AI, Big Sleep, выявил и сообщил о 20 недостатках безопасности в различном популярном программном обеспечении с открытым исходным кодом. Это знаменует собой первую партию уязвимостей, обнаруженных инструментом на основе LLM, разработанной DeepMind Google Deepmind и его элитной хакерской командой Project Zero.
По словам Хизер Адкинс, вице-президента Google по безопасности, первоначальные результаты Big Sleep были в основном в программном обеспечении с открытым исходным кодом, включая аудио и видео библиотеку FFMPEG и Edication Edage Mimagick. В то время как конкретные детали, касающиеся воздействия и серьезности этих уязвимостей, в настоящее время удерживаются в ожидании их исправлений, Google подчеркивает значение этих выводов в качестве показания растущей способности инструментов ИИ при обнаружении уязвимости в реальном мире.
Кимберли Самра, представитель Google, разъяснила процесс, заявив, что «Для обеспечения высокого качества и действенных отчетов у нас есть эксперт по человеку в цикле перед отчетностью, но каждая уязвимость была найдена и воспроизведена агентом ИИ без вмешательства человека». Это подчеркивает этап проверки человека, чтобы обеспечить легитимность недостатков.
Королевский Хансен, вице -президент Google по технике инженерии, охарактеризовал достижения Big Sleep на X как демонстрируя «новую границу в автоматизированном обнаружении уязвимости». Появление инструментов LLM для обнаружения уязвимости является растущей тенденцией, с другими примечательными примерами, включая Runsybil и Xbow.
XBOW привлек внимание к тому, чтобы возглавить таблицу лидеров США на платформе Bug Bounty Hackerone. Подобно большому сону, многие из этих охотников за ошибками с AI включают человеческую проверку, чтобы подтвердить обоснованность сообщенных уязвимостей. Влад Ионеску, соучредитель и технический директор Runsybil, высоко оценил большой сон как «законный» проект, приписывая его авторитету «хороший дизайн, люди, стоящие за ним, знают, что они делают, у Project Zero есть опыт поиска ошибок, а в Deepmind есть огня и токены, чтобы бросить его».
Несмотря на огромное обещание, эти инструменты ИИ также представляют проблемы. Содействия программному обеспечению выразили обеспокоенность по поводу увеличения «галлюцинированных» отчетов об ошибках, сгенерированных ИИ, которые некоторые сравнили с «Склоном ИИ» в ландшафте закуда с ошибкой. Ионеску ранее отмечал: «Это проблема, с которой сталкиваются люди, заключается в том, что мы получаем много вещей, которые похожи на золото, но на самом деле это просто дерьмо». Это подчеркивает постоянную потребность в человеческом надзоре в зарождающемся области обнаружения уязвимости, управляемой искусственным интеллектом.
Source: Google дебютирует с AI Hunter с 20 подтвержденными уязвимостями
