Google on ilmoittanut, että sen AI-käyttöinen haavoittuvuustutkija Big Sleep on tunnistanut ja ilmoittanut 20 turvallisuusvirhettä erilaisissa suositussa avoimen lähdekoodin ohjelmistossa. Tämä merkitsee ensimmäistä LLM-pohjaisen työkalun löytämää haavoittuvuutta, jonka ovat kehittäneet Googlen AI-osasto Deepmind ja sen eliitti hakkerointitiimiprojekti Zero.
Googlen turvallisuusjohtaja Heather Adkinsin mukaan Big Sleepin alkuperäiset havainnot olivat ensisijaisesti avoimen lähdekoodin ohjelmistoissa, mukaan lukien ääni- ja videokirjasto FFMPEG ja kuvanmuokkaus Suite ImageMagick. Vaikka näiden haavoittuvuuksien vaikutukset ja vakavuuden erityiset yksityiskohdat ovat tällä hetkellä pidätettyjä, odotettaessa niiden korjauksia, Google korostaa näiden havaintojen merkitystä osoituksena AI-työkalujen kasvatuskyvystä reaalimaailman haavoittuvuuden löytämisessä.
Googlen tiedottaja Kimberly Samra selvensi prosessia ja totesi: ”Korkealaatuisten ja toimivia raporttien varmistamiseksi meillä on ihmisen asiantuntija silmukassa ennen raportointia, mutta AI -agentti löysi jokaisen haavoittuvuuden ja toistaa ilman ihmisen puuttumista.” Tämä korostaa ihmisen todentamisvaihetta varmistaakseen AI-tunnistettujen virheiden legitiimiyden.
Googlen tekniikan varapuheenjohtaja Royal Hansen luonnehti Big Sleepin saavutuksia X: llä osoittavan ”uuden rajan automatisoidussa haavoittuvuuden löytämisessä”. LLM-moottorilla olevien työkalujen syntyminen haavoittuvuuden havaitsemiseksi on kasvava suuntaus, muilla merkittävillä esimerkeillä, mukaan lukien Runsybil ja Xbow.
Xbow on kiinnittänyt huomiota Yhdysvaltain tulostaulun täyttämiseen Bug Bounty Platform Hackeronessa. Samoin kuin Big Sleep, monet näistä AI-moottorien vikametsästäjistä sisällyttävät ihmisen todentamisen vahvistaakseen ilmoitettujen haavoittuvuuksien pätevyyden. Runsybilin perustaja ja CTO: n perustaja Vlad Ionescu kiitti Big Sleepiä ”legit” -projektina, mikä johtuu sen uskottavuudesta ”hyvälle suunnittelulle, sen takana olevat ihmiset tietävät mitä he tekevät, Project Zerolla on vianhakukokemus ja Deepmindillä on tulivoimat ja rahakkeet heittääkseen siihen.”
Valtavasta lupauksesta huolimatta nämä AI -työkalut esittävät myös haasteita. Ohjelmiston ylläpitäjät ovat ilmaisseet huolensa AI: n tuottamien ”hallusinoitujen” virhekertomusten lisääntymisestä, jotka jotkut ovat verranneet ”AI -kaltevuuteen” Bug Bounty -maisemaan. Ionescu totesi aiemmin: ”Se on ongelma, johon ihmiset törmäävät, onko meillä paljon tavaraa, joka näyttää kultaiselta, mutta se on oikeastaan vain paskaa.” Tämä korostaa jatkuvaa ihmisen valvontaa tarvetta AI-ohjatun haavoittuvuuden löytämisen syntymässä.
Source: Google debytoi AI -bug -metsästäjä 20 vahvistetulla haavoittuvuudella
