Шукач вразливостей на базі штучного інтелекту від Google щойно повідомив про свою першу партію вразливостей безпеки.
Віце-президент Google з безпеки Гізер Адкінс оголосила, що дослідник вразливостей Big Sleep, що базується на LLM, виявила та повідомила про 20 недоліків у різному популярному програмному забезпеченні з відкритим кодом.
Адкінс сказав, що Big Sleep, розроблений відділом штучного інтелекту компанії DeepMind, а також її елітною командою хакерів Project Zero, повідомив про свої перші в історії вразливості , здебільшого у відкритому програмному забезпеченні, такому як аудіо- та відеобібліотека FFmpeg та пакет програм для редагування зображень ImageMagick.
Оскільки вразливості ще не виправлені, ми не маємо подробиць про їхній вплив чи серйозність, оскільки Google поки що не хоче надавати подробиці , що є стандартною політикою, коли очікується виправлення помилок. Але сам факт того, що Big Sleep виявив ці вразливості, є важливим, оскільки він показує, що ці інструменти починають давати реальні результати, навіть якщо в цій справі була залучена людина.
«Щоб забезпечити високу якість та практичні звіти, ми залучаємо експерта-людину до процесу їхнього подання, але кожну вразливість виявляв та відтворював агент штучного інтелекту без втручання людини», – сказала речниця Google Кімберлі Самра виданню TechCrunch.
Роял Хансен, віцепрезидент Google з інженерії, написав на X , що результати демонструють «новий рубіж в автоматизованому виявленні вразливостей».
Інструменти на базі LLM, які можуть шукати та знаходити вразливості, вже є реальністю . Окрім Big Sleep, є , серед інших, RunSybil та XBOW.
XBOW потрапив у заголовки газет після того, як досяг вершини одного з лідерів США на платформі винагород за виявлені вразливості HackerOne. Важливо зазначити, що в більшості випадків у цих звітах на певному етапі процесу присутня людина, яка перевіряє, чи мисливець за помилками на базі штучного інтелекту виявив справжню вразливість, як у випадку з Big Sleep.
Влад Іонеску, співзасновник і головний технічний директор RunSybil, стартапу, який розробляє мисливців за помилками на базі штучного інтелекту, розповів TechCrunch, що Big Sleep — це «легітимний» проєкт, враховуючи, що він має «гарний дизайн, люди, що стоять за ним, знають, що роблять, Project Zero має досвід пошуку помилок, а DeepMind має вогневу потужність і токени, щоб це реалізувати».
Ці інструменти, очевидно, мають багатообіцяльні можливості, але також є й суттєві недоліки. Кілька людей, які підтримують різні програмні проєкти, скаржилися на повідомлення про помилки, які насправді є галюцинаціями , а деякі називали їх еквівалентом винагороди за помилки, що виникла внаслідок використання штучного інтелекту.
«Проблема, з якою стикаються люди, полягає в тому, що ми отримуємо багато речей, які виглядають як золото, але насправді це просто мотлох», – раніше розповідав Іонеску TechCrunch.