O Google anunciou que seu pesquisador de vulnerabilidades de IA, Big Sleep, identificou e relatou 20 falhas de segurança em vários softwares populares de código aberto. Isso marca o primeiro lote de vulnerabilidades descobertas pela ferramenta baseada em LLM, desenvolvida pelo Departamento de AI do Google, DeepMind e seu projeto de equipe de hackers de elite Zero.
De acordo com Heather Adkins, vice-presidente de segurança do Google, as descobertas iniciais do Big Sleep estavam principalmente em software de código aberto, incluindo o FFMPEG de áudio e biblioteca de videoclipe e o Imagemagick Suite de edição de imagens. Embora detalhes específicos sobre o impacto e a gravidade dessas vulnerabilidades sejam atualmente retidos, aguardando suas correções, o Google enfatiza o significado desses achados como uma indicação da capacidade de crescimento das ferramentas de IA na descoberta de vulnerabilidades do mundo real.
Kimberly Samra, porta -voz do Google, esclareceu o processo, afirmando: “Para garantir relatórios de alta qualidade e acionáveis, temos um especialista em Loop antes de relatar, mas cada vulnerabilidade foi encontrada e reproduzida pelo agente da IA sem intervenção humana”. Isso destaca uma etapa de verificação humana para garantir a legitimidade das falhas identificadas pela AI.
Royal Hansen, vice -presidente de engenharia do Google, caracterizou as conquistas do Big Sleep em X como demonstrando “uma nova fronteira na descoberta automatizada de vulnerabilidades”. O surgimento de ferramentas movidas a LLM para detecção de vulnerabilidades é uma tendência crescente, com outros exemplos notáveis, incluindo Runsybil e Xbow.
O Xbow ganhou atenção por superar uma tabela de classificação dos EUA na plataforma Bug Bounty Hackerone. Semelhante ao grande sono, muitos desses caçadores de insetos movidos a IA incorporam a verificação humana para confirmar a validade das vulnerabilidades relatadas. Vlad Ionescu, co-fundador e CTO da Runsybil, elogiou o Big Sleep como um projeto “legítimo”, atribuindo sua credibilidade a “um bom design, pessoas por trás disso sabem o que estão fazendo, o Projeto Zero tem a experiência de encontrar bugs e o DeepMind tem o poder de fogo e tokens para jogar”.
Apesar da imensa promessa, essas ferramentas de IA também apresentam desafios. Os mantenedores de software manifestaram preocupações sobre um aumento nos relatórios de bugs “alucinados” gerados pela IA, que alguns compararam a “AI Slop” na paisagem de Bug Bounty. Ionescu observou anteriormente: “Esse é o problema que as pessoas estão se encontrando, está recebendo muitas coisas que parecem ouro, mas na verdade é apenas uma porcaria”. Isso ressalta a necessidade contínua de supervisão humana no campo nascente da descoberta de vulnerabilidades orientada pela IA.
Source: O Google estreia a Ai Bug Hunter com 20 vulnerabilidades confirmadas
