Искусственный интеллект компании Google под названием Big Sleep впервые обнаружил и сообщил о 20 критических уязвимостях в популярных проектах с открытым кодом.
Об этом сообщает ProIT
Инновационная разработка в области кибербезопасности
О достижении сообщила Хизер Аткінс, вице-президент по вопросам безопасности Google. Big Sleep — это инструмент на основе больших языковых моделей, разработанный подразделением DeepMind в сотрудничестве с командой киберэкспертов Project Zero. Первую серию уязвимостей алгоритм обнаружил в таких известных продуктах, как библиотека для работы с мультимедиа FFmpeg и пакет для обработки изображений ImageMagick.
Поскольку исправления для найденных ошибок пока еще не выпущены, компания воздерживается от раскрытия деталей относительно характера и уровня угрозы уязвимостей. Однако сам факт, что искусственный интеллект самостоятельно идентифицировал эти баги, свидетельствует о реальных результатах современных технологий в поиске киберугроз.
“Чтобы гарантировать качество и полезность отчетов, перед тем как отправлять сообщения, их просматривает эксперт-людина, но каждую уязвимость было найдено и воспроизведено агентом с искусственным интеллектом без человеческого вмешательства”, — объяснила представительница Google Кимберли Самра.
Другие инструменты на основе ИИ уже работают
Не только Big Sleep, но и другие системы на основе ИИ, такие как RunSybil и XBOW, уже используются для поиска уязвимостей в программном обеспечении. В частности, XBOW недавно возглавил один из американских рейтингов на платформе HackerOne, которая специализируется на программе вознаграждений за найденные баги. Однако эксперты подчеркивают: хотя алгоритмы и находят потенциальные проблемы, окончательную проверку и подтверждение результатов все же осуществляют люди.
Сооснователь и технический директор RunSybil Влад Ионеску отметил:
Big Sleep — это “серьезный проект, который имеет хороший дизайн, команду профессионалов, опыт Project Zero в поиске уязвимостей и вычислительные возможности DeepMind”.
В то же время развитие таких технологий сопровождается и определенными рисками. Часть разработчиков жалуется на “галлюцинации” ИИ — сообщения о несуществующих багах, которые называют “AI slop”, то есть “искусственным мусором”. Как отмечает Ионеску, иногда “получаем много багов, которые выглядят ценными, но на самом деле являются бесполезными”.