AI-ul Big Sleep, de la Google, a descoperit 20 de vulnerabilități în programe open-source. De ce este importantă inteligența artificială de acest tip

Google a confirmat că AI-ul său specializat în detectarea vulnerabilităților, Big Sleep, a identificat 20 de erori de securitate în biblioteci open-source populare precum FFmpeg și ImageMagick.

Concret, Google a anunțat oficial că Big Sleep, sistemul său bazat pe inteligență artificială, a descoperit primul set de 20 de vulnerabilități de securitate în diverse aplicații open-source.

Big Sleep a avut parte de debut promițător pentru un sistem AI de tip LLM în securitate cibernetică

Anunțul a fost făcut de Heather Adkins, vicepreședinta diviziei de securitate a companiei, care a subliniat că descoperirile sunt rezultatul unei colaborări între DeepMind și echipa de elită Project Zero.

Deși detaliile tehnice ale acestor vulnerabilități nu au fost publicate, din motive de siguranță și politici standard din industrie, faptul că un agent AI a reușit să identifice independent aceste probleme semnalează un moment important în evoluția automatizării în domeniul securității software.

„Pentru a ne asigura că rapoartele sunt de calitate și pot fi acționate concret, fiecare vulnerabilitate este revizuită de un expert uman înainte de a fi trimisă. Totuși, toate au fost detectate și reproduse de AI fără intervenție umană directă”, a precizat purtătoarea de cuvânt Kimberly Samra pentru TechCrunch.

O nouă eră în descoperirea automată a vulnerabilităților, de la Google

Big Sleep nu este singurul instrument AI de acest tip, însă este printre primele dezvoltate de un gigant tehnologic cu resurse semnificative.

Alte proiecte similare precum RunSybil și XBOW și-au făcut deja apariția, iar în unele cazuri au reușit să urce în topurile platformelor de tip bug bounty, cum este HackerOne.

Cu toate acestea, majoritatea acestor unelte includ și o componentă de verificare umană pentru a filtra rezultatele false sau „halucinate”.

Royal Hansen, vicepreședinte Google pentru inginerie, a descris descoperirile ca reprezentând „un nou orizont în detectarea automată a vulnerabilităților”.

Afirmația vine într-un moment în care companiile caută soluții mai rapide și mai eficiente pentru identificarea riscurilor de securitate din aplicații critice.

Cu toate promisiunile acestor unelte, comunitatea dezvoltatorilor open-source a semnalat și potențiale probleme. Unii au raportat cazuri în care AI-urile au trimis erori false, uneori complet inventate, ceea ce duce la pierderi de timp și resurse.

Vlad Ionescu, CTO și co-fondator al startup-ului RunSybil, a recunoscut că Big Sleep este „un proiect serios”, cu o echipă solidă și expertiză reală, dar a atras atenția și asupra pericolelor unor rezultate înșelătoare: „Uneori arată ca aurul, dar de fapt e gunoi.”

Big Sleep marchează un pas important în utilizarea AI-ului pentru detectarea automată a vulnerabilităților de securitate.

Deși sistemul are nevoie de validare umană și este încă în stadiu incipient, rezultatele obținute până acum demonstrează un potențial real.

Pe măsură ce astfel de tehnologii evoluează, provocarea va fi să echilibrăm eficiența descoperirii automate cu acuratețea necesară pentru a evita alarmele false sau rapoartele irelevante.