Штучний інтелект компанії Google під назвою Big Sleep вперше виявив та повідомив про 20 критичних вразливостей у популярних проєктах з відкритим кодом.
Про це розповідає ProIT
Інноваційна розробка у сфері кібербезпеки
Про досягнення повідомила Гізер Аткінс, віцепрезидентка з питань безпеки Google. Big Sleep — це інструмент на основі великих мовних моделей, розроблений підрозділом DeepMind у співпраці з командою кіберекспертів Project Zero. Першу серію вразливостей алгоритм виявив у таких відомих продуктах, як бібліотека для роботи з мультимедіа FFmpeg та пакет для обробки зображень ImageMagick.
Оскільки виправлення для знайдених помилок наразі ще не випущені, компанія утримується від розкриття деталей щодо характеру та рівня загрози вразливостей. Та сам факт, що штучний інтелект самостійно ідентифікував ці баги, засвідчує реальні результати сучасних технологій у пошуку кіберзагроз.
“Щоб гарантувати якість і корисність звітів, перед тим, як надсилати повідомлення, їх переглядає експерт-людина, але кожну вразливість було знайдено й відтворено агентом зі штучним інтелектом без людського втручання”, — пояснила представниця Google Кімберлі Самра.
Інші інструменти на основі ШІ вже працюють
Не лише Big Sleep, а й інші системи на основі ШІ, такі як RunSybil і XBOW, уже використовуються для пошуку вразливостей у програмному забезпеченні. Зокрема, XBOW нещодавно очолив один із американських рейтингів на платформі HackerOne, що спеціалізується на програмі винагород за знайдені баги. Проте експерти наголошують: хоча алгоритми і знаходять потенційні проблеми, остаточну перевірку та підтвердження результатів все ж здійснюють люди.
Співзасновник і технічний директор RunSybil Влад Іонеску відзначив:
Big Sleep — це “серйозний проєкт, який має гарний дизайн, команду професіоналів, досвід Project Zero у пошуку вразливостей і обчислювальні можливості DeepMind”.
Водночас розвиток таких технологій супроводжується і певними ризиками. Частина розробників скаржиться на “галюцинації” ШІ — повідомлення про неіснуючі баги, які називають “AI slop”, тобто “штучним сміттям”. Як зазначає Іонеску, іноді “отримуємо багато багів, які виглядають цінними, але насправді є марними”.