Баг-хантер на основе ИИ от Google обнаружил 20 уязвимостей безопасности
Хизер Адкинс, вице-президент Google по безопасности, объявила в понедельник, что исследователь уязвимостей под названием «Big Sleep», работающий на основе большой языковой модели, обнаружил и сообщил о 20 изъянах в различных популярных программах с открытым исходным кодом.
Эдкинс сообщила, что Big Sleep, который разрабатывается отделом искусственного интеллекта DeepMind компании Google, а также ее элитной командой хакеров Project Zero, сообщил о первых выявленных уязвимостях, в основном в программном обеспечении с открытым исходным кодом, таком как аудио- и видеобиблиотека FFmpeg и пакет для редактирования изображений ImageMagick.
Учитывая, что уязвимости ещё не устранены, Google не предоставляет информацию об их влиянии или серьёзности, что является стандартной политикой в ожидании исправления ошибок. Однако сам факт обнаружения этих уязвимостей программой Big Sleep весьма важен, поскольку показывает, что эти инструменты начинают давать реальные результаты, даже если в данном случае имело место вмешательство человека.
«Чтобы гарантировать высокое качество и практическую ценность отчетов, перед их отправкой к нам подключается эксперт-человек, но каждая уязвимость была обнаружена и воспроизведена агентом ИИ без вмешательства человека», — сказала представитель Google Кимберли Самра.
Вице-президент Google по инжинирингу Роял Хансен написал в X, что полученные результаты демонстрируют «новый рубеж в автоматизированном обнаружении уязвимостей».
Инструменты на базе больших языковых моделей, способные искать и находить уязвимости, уже стали реальностью. Помимо Big Sleep, существуют также RunSybil, XBOW и другие. XBOW попал в заголовки газет после того, как возглавил один из рейтингов в США на платформе поиска уязвимостей HackerOne. Важно отметить, что в большинстве случаев в процессе проверки уязвимости, обнаруженной с помощью искусственного интеллекта, на каком-то этапе участвует человек, как и в случае с Big Sleep.
Влад Ионеску, соучредитель и главный технический директор RunSybil, стартапа, разрабатывающего охотников за ошибками на базе ИИ, сказал: «Big Sleep — «законный» проект, учитывая, что у него хороший дизайн, люди, стоящие за ним, знают, что делают, у Project Zero есть опыт поиска ошибок, а у DeepMind есть огневая мощь и токены, которыми можно воспользоваться».
Эти новые инструменты, безусловно, являются многообещающими, но имеют и существенные недостатки. Несколько человек, поддерживающих различные программные проекты, жаловались на сообщения об ошибках, которые на самом деле являлись галлюцинациями, а некоторые называли их «вознаграждением за ошибки» или эквивалентом «помоев искусственного интеллекта».
«Проблема, с которой сталкиваются люди, заключается в том, что мы получаем много вещей, которые выглядят как золото, но на самом деле это просто хлам», — заявил Ионеску.
