Google heeft aangekondigd dat zijn AI-aangedreven kwetsbaarheidsonderzoeker, Big Sleep, 20 beveiligingsfouten heeft geïdentificeerd en gerapporteerd in verschillende populaire open-source software. Dit markeert de eerste reeks kwetsbaarheden die zijn ontdekt door de LLM-gebaseerde tool, ontwikkeld door Google’s AI Department DeepMind en zijn elite hacking-teamproject Zero.
Volgens Heather Adkins, de vice-president van Google van Security, waren de eerste bevindingen van Big Sleep voornamelijk in open-source software, waaronder de Audio en Video Library FFMPEG en de Imagemagick met beeldbewerking. Hoewel specifieke details met betrekking tot de impact en ernst van deze kwetsbaarheden momenteel worden onthouden, in afwachting van hun fixes, benadrukt Google de betekenis van deze bevindingen als een indicatie van het groeipaciliteit van AI Tools bij het ontdekken van kwetsbaarheid in de praktijk.
Kimberly Samra, een woordvoerder van Google, verduidelijkte het proces en verklaarde: “Om van hoge kwaliteit en bruikbare rapporten te garanderen, hebben we een menselijke expert in de lus voordat we rapporteren, maar elke kwetsbaarheid werd gevonden en gereproduceerd door de AI -agent zonder menselijke tussenkomst.” Dit benadrukt een menselijke verificatiestap om de legitimiteit van AI-geïdentificeerde fouten te waarborgen.
Royal Hansen, vice -president van Google, kenmerkte de prestaties van Big Sleep op X als demonstratie van “een nieuwe grens in geautomatiseerde kwetsbaarheidsontdekking.” De opkomst van LLM-aangedreven hulpmiddelen voor het detecteren van kwetsbaarheid is een groeiende trend, met andere opmerkelijke voorbeelden, waaronder Runsybil en Xbow.
Xbow heeft aandacht gekregen voor het toppen van een Amerikaans klassement op de bugbounty -platformhackerone. Net als bij grote slaap, nemen veel van deze AI-aangedreven bugjagers menselijke verificatie op om de geldigheid van gerapporteerde kwetsbaarheden te bevestigen. Vlad Ionescu, mede-oprichter en CTO van Runsybil, prees grote slaap als een “legitiem” project, die zijn geloofwaardigheid toeschrijft aan “goed ontwerp, mensen erachter weten wat ze doen, Project Zero heeft de bugs-ervaring en DeepMind heeft de vuurkracht en tokens om er naar te gooien.”
Ondanks de enorme belofte vormen deze AI -tools ook uitdagingen. Software -onderhouders hebben hun bezorgdheid geuit over een toename van “hallucinated” bugrapporten die zijn gegenereerd door AI, die sommigen hebben vergeleken met “AI Slop” in het Bug Bounty -landschap. Ionescu merkte eerder op: “Dat is het probleem dat mensen tegenkomen, is dat we veel dingen krijgen die eruit zien als goud, maar het is eigenlijk gewoon onzin.” Dit onderstreept de voortdurende behoefte aan menselijk toezicht in het opkomende veld van AI-aangedreven ontdekking van kwetsbaarheid.
Source: Google debuteert AI Bug Hunter met 20 bevestigde kwetsbaarheden
