Google оголосила про перший значний успіх своєї AI-системи пошуку помилок у програмному забезпеченні. За словами віцепрезидентки з безпеки Хізер Адкінс, експериментальна технологія під назвою Big Sleep, яка працює на основі LLM і розроблена спільно підрозділом DeepMind та командою етичних хакерів Project Zero, виявила 20 нових уразливостей у відкритому коді.
Щоб дізнатись останні новини, слідкуйте за нашим каналом Google News онлайн або через застосунок.
За інформацією Google, знайдені помилки стосуються здебільшого популярних open-source рішень, серед яких мультимедійна бібліотека FFmpeg та набір інструментів для роботи з графікою ImageMagick.
Поки що компанія не розкриває деталі про характер чи рівень небезпеки цих вразливостей. Це стандартна практика до моменту випуску патчів, щоб уникнути експлуатації проблем сторонніми. Однак сам факт, що Big Sleep самостійно виявив ці недоліки, є важливим сигналом: AI-інструменти починають приносити реальну користь у сфері кібербезпеки, навіть попри те, що верифікацію виконують експерти-люди.
Представниця Google Кімберлі Самра пояснила TechCrunch: «Ми завжди проводимо додаткову людську перевірку, щоб гарантувати практичність і високу якість звітів, але всі 20 вразливостей були знайдені й відтворені AI-агентом без жодного людського втручання». Віцепрезидент Google з інженерії Роял Хансен назвав це «новим етапом в автоматизації пошуку вразливостей», підкресливши значення відкриття у дописі на X.
Big Sleep – не єдиний інструмент, який розвивається в цьому напрямі. Серед аналогів називають RunSybil і XBOW. Останній нещодавно став відомим завдяки високим позиціям у рейтингу HackerOne – платформи для баг-хантерів. У більшості випадків AI-рішення працюють у зв’язці з людьми, які підтверджують достовірність знахідок, і випадок із Big Sleep не став винятком.
Влад Іонеску, співзасновник і технічний директор стартапу RunSybil, назвав проєкт Google «серйозним і якісним», відзначивши сильний дизайн системи, високий рівень команди Project Zero та потужності DeepMind, здатні забезпечити масштабні обчислення.
Водночас, попри великий потенціал, ці AI-інструменти стикаються і з суттєвими проблемами. Розробники ПЗ вже скаржилися на так звані «галюцинації» AI, коли звіти містять помилкові знахідки, які виглядають як справжні. Іонеску раніше прокоментував це TechCrunch так: «Ми отримуємо безліч результатів, які спочатку здаються цінними, але насправді виявляються повним сміттям».
Читайте також:
- Масштабна кібератака ГУР паралізувала роботу окупаційної влади в Криму
- Як китайці обходять заборону США на чипи для AI