Google повідомляє, що його штучний інтелект виявив 20 вразливостей у системі безпеки

Штучний інтелект Google виявив першу партію вразливостей у безпеці.

Хізер Адвінс, віце-президент Google з безпеки, повідомила в понеділок, що дослідник вразливостей на основі LLM, відомий як Big Sleep, виявив та зафіксував 20 недоліків у різному популярному програмному забезпеченні з відкритим кодом.

Адвінс зазначила, що Big Sleep, розроблений підрозділом штучного інтелекту DeepMind та командою хакерів Project Zero, вперше виявив вразливості, переважно у програмному забезпеченні з відкритим кодом, такому як бібліотека для роботи з аудіо та відео FFmpeg та пакет редагування зображень ImageMagick.

Оскільки вразливості ще не усунені, деталі їхнього впливу або серйозності поки що невідомі, оскільки Google вирішив не розголошувати цю інформацію до моменту усунення недоліків. Проте сам факт виявлення цих вразливостей є значущим, оскільки свідчить про те, що ці інструменти починають давати реальні результати, навіть якщо деяке людське втручання все ж існує.

«Щоб забезпечити високу якість та практичність звітів, у нас є експерт, який перевіряє інформацію перед поданням, але кожна вразливість була виявлена та відтворена агентом штучного інтелекту без людського втручання», – повідомила речниця Google Кімберлі Самра.

Роял Хансен, віце-президент Google з інженерії, висловився у соцмережі X, що ці знахідки демонструють «нові горизонти в автоматизованому виявленні вразливостей».

Інструменти на основі LLM, що можуть виявляти та знаходити вразливості, вже є реальністю. Окрім Big Sleep, існують також RunSybil та XBOW, серед інших.

XBOW отримав широке визнання після того, як зайняв перше місце у рейтингах на платформі HackerOne. Важливо зазначити, що в більшості випадків до звітів залучені люди, які перевіряють, чи виявив AI дійсну вразливість, що стосується і Big Sleep.

Влад Іонеску, співзасновник та технічний директор RunSybil, стартапу, що розробляє AI-базованих «мисливців» за вразливостями, зазначив, що Big Sleep є «легітимним» проєктом, оскільки він має «хорошу концепцію, за ним стоять компетентні люди, Project Zero має досвід виявлення вразливостей, а DeepMind має необхідні ресурси».

Ці інструменти надають багато можливостей, але також мають і суттєві недоліки. Декілька осіб, які займаються різними програмними проєктами, скаржились на звіти про вразливості, які виявилися помилковими, звинувативши їх у недостатній якості.

«Це та проблема, з якою стикаються люди; ми отримуємо багато інформації, яка виглядає цінною, але насправді є непотрібною», – зазначив Іонеску раніше.