Искусственный интеллект Google, занимающийся поиском уязвимостей, только что сообщил о своей первой партии уязвимостей в системе безопасности.
Хизер Адкинс, вице-президент Google по безопасности, объявила в понедельник, что ее исследователь уязвимостей Big Sleep, основанный на LLM, обнаружил и сообщил о 20 уязвимостях в различных популярных программах с открытым исходным кодом.
Эдкинс сообщила, что Big Sleep, разработанный отделом искусственного интеллекта компании DeepMind, а также элитной командой хакеров Project Zero, сообщил о своих первых уязвимостях, в основном в программном обеспечении с открытым исходным кодом, таком как аудио- и видеобиблиотека FFmpeg и пакет для редактирования изображений ImageMagick.
Учитывая, что уязвимости еще не исправлены, у нас нет подробной информации об их влиянии или серьезности, поскольку Google пока не хочет предоставлять подробности, что является стандартной политикой при ожидании исправления ошибок. Но сам факт того, что Big Sleep обнаружил эти уязвимости, является значимым, поскольку показывает, что эти инструменты начинают давать реальные результаты, даже если в данном случае был задействован человек.
« Чтобы обеспечить высокое качество и практическую ценность отчетов, перед их представлением мы привлекаем эксперта-человека, но каждая уязвимость была обнаружена и воспроизведена ИИ-агентом без вмешательства человека», — сообщила TechCrunch представитель Google Кимберли Самра.
Ройал Хансен, вице-президент Google по инженерным вопросам, написал в X, что эти результаты демонстрируют «новую границу в автоматическом обнаружении уязвимостей».
Инструменты на базе LLM, которые могут искать и находить уязвимости, уже стали реальностью. Помимо Big Sleep, есть RunSybil, XBOW и другие.
XBOW попал в заголовки новостей после того, как достиг вершины одного из американских рейтингов на платформе HackerOne, посвященной поиску уязвимостей. Важно отметить, что в большинстве случаев в процессе подготовки таких отчетов в какой-то момент участвует человек, который проверяет, что ИИ-охотник за уязвимостями нашел легитимную уязвимость, как в случае с Big Sleep.
Влад Ионеску, соучредитель и технический директор RunSybil, стартапа, разрабатывающего ИИ-охотников за багами, сказал TechCrunch, что Big Sleep — «легитимный» проект, учитывая, что он имеет «хороший дизайн, люди, стоящие за ним, знают, что делают, Project Zero имеет опыт в поиске багов, а DeepMind имеет мощь и ресурсы, чтобы вложить в него».
Очевидно, что эти инструменты очень многообещающие, но у них есть и значительные недостатки. Несколько человек, занимающихся поддержкой различных программных проектов, жаловались на отчеты об ошибках, которые на самом деле являются галлюцинациями, а некоторые называют их эквивалентом искусственного интеллекта в области поиска ошибок.
«Проблема, с которой сталкиваются люди, заключается в том, что мы получаем много вещей, которые выглядят как золото, но на самом деле это просто мусор», — сказал Ионеску ранее TechCrunch.
Оригинал
Уникальность
