Система поиска уязвимостей с искусственным интеллектом Google Big Sleep обнаружила 20 багов в проектах с открытым исходным кодом, включая аудио- и видеобиблиотеку FFmpeg и пакет для редактирования изображений ImageMagick.
Вице-президент Google по безопасности Хизер Эдкинс объявила, что инструмент Big Sleep, разработанный отделом искусственного интеллекта компании DeepMind и командой хакеров Project Zero, сообщил о первых уязвимостях, в основном в программах с открытым исходным кодом.
Учитывая, что баги ещё не устранены, компания не даёт подробной информации об их влиянии или серьёзности.
«Чтобы гарантировать высокое качество и практическую ценность отчётов, перед их составлением к нам подключается эксперт-человек, но каждая уязвимость была обнаружена и воспроизведена ИИ-агентом без человеческого вмешательства», — рассказала представитель Google Кимберли Самра.
Ройал Хансен, вице-президент Google по инжинирингу, написал в X, что результаты демонстрируют «новый рубеж в автоматизированном обнаружении уязвимостей».
Помимо Big Sleep, уже существуют такие инструменты, как RunSybil и XBOW. Последний возглавил один из рейтингов в США на платформе поиска багов HackerOne.
Влад Ионеску, соучредитель и технический директор стартапа программ поиска багов RunSybi, заявил, что Big Sleep — «законный» проект, учитывая его «хороший дизайн и то, что стоящие за ним люди знают, что делают».
Тем не менее, у таких инструментов есть и существенные недостатки. Несколько пользователей, ведущих различные программные проекты, жаловались на сообщения об ошибках, которые на самом деле являются галлюцинациями.
В 2024 году сообщалось, что Big Sleep обнаружил первую уязвимость отрицательного переполнения (underflow) буфера стека с возможностью реализации эксплойтов в SQLite. Разработчикам сообщили о ней в начале октября. Проблему выявили до её появления в официальном релизе, так что она не затронула пользователей SQLite.
Источник: habr.com