ИИ-инструмент Google для поиска уязвимостей представил первые результаты.
Хизер Адкинс, вице-президент по безопасности Google, объявила в понедельник через социальную сеть X, что их система Big Sleep, основанная на языковых моделях (LLM), обнаружила и сообщила о 20 уязвимостях в популярном программном обеспечении с открытым исходным кодом.
Big Sleep, разработанный подразделением DeepMind и хакерской командой Project Zero, зафиксировал первые находки в таких проектах, как мультимедийная библиотека FFmpeg и графический редактор ImageMagick. Детали уязвимостей пока не раскрываются, так как они ещё не исправлены — это соответствует стандартной практике ответственного раскрытия информации. Однако сам факт обнаружения проблем стал важным шагом, демонстрирующим потенциал автоматизированных инструментов, даже при участии человека в проверке.
«Для обеспечения качества наши эксперты проверяют отчёты, но каждая уязвимость была найдена и воспроизведена ИИ без человеческого вмешательства», — заявила представитель Google Кимберли Самра.
Роял Хансен, вице-президент по инженерным вопросам Google, назвал эти результаты «новым рубежом в автоматизированном поиске уязвимостей». В этом направлении уже работают и другие инструменты, включая RunSybil и XBOW. Последний, например, занял лидирующие позиции на платформе HackerOne.
Создатель RunSybil Влади Ионеску отметил, что Big Sleep — серьёзный проект благодаря опыту команды и ресурсам DeepMind. Однако не всё так гладко: разработчики жалуются на ложные срабатывания ИИ, сравнивая их с «мусором» в системе bug bounty. «Многие отчёты выглядят как золото, но на деле оказываются пустышкой», — сказал Ионеску в предыдущем интервью.
Технология продолжает развиваться, но уже сейчас ясно, что внедрение ИИ в кибербезопасность требует баланса между автоматизацией и человеческим контролем.