O Bug Hunter, do Google, Big Sleep, identificou e relatou com sucesso 20 novas vulnerabilidades de segurança em software popular de código aberto. A conquista foi anunciado OUTO SEGUNDO POR SUPERSO ADKINS, o vice-presidente do Google. Biblioteca de mídia do FFMPEG e o ImageMagick Editing Suite. Isso marca um marco significativo para a descoberta automatizada de vulnerabilidades.
A colaboração em si é digna de nota. O Projeto Zero é a equipe de pesquisadores de segurança do Google, conhecidos por encontrar vulnerabilidades de alto impacto, enquanto o DeepMind é sua principal divisão de pesquisa de IA. Combinando a mentalidade de segurança ofensiva do Projeto Zero com as proezas da AI do DeepMind dá um grande sono com sua vantagem única. Enquanto o Google confirmou um especialista em humanos revisa cada relatório para garantir a qualidade, a descoberta e a reprodução iniciais dos bugs foram tratadas inteiramente pela IA sem intervenção humana. A jornada do projeto começou com uma prova de conceito notável em novembro de 2024, quando o grande sono descobriu sua primeira vulnerabilidade: um buffer de pilha subfluente no onipresente mecanismo de banco de dados SQLite. As apostas foram levantadas consideravelmente em julho de 2025, quando o Google revelou que o grande sono havia neutracionado proativamente uma ameaça iminente.
Nesse caso, encontrou uma falha crítica de sqlite, CVE-2025-6965, que estava à beira da exploração. Esse movimento sinalizou uma mudança crítica da simples descoberta de bugs para a prevenção de ameaças ativa e liderada por inteligência. Foi uma corrida contra os atacantes, e a IA venceu. Tracker , mostra que o projeto agora está escalando com sucesso seus recursos de descoberta autônoma. A escolha de alvos como FFMPEG e ImageMagick é estratégica, pois as falhas nessas bibliotecas fundamentais podem ter um impacto em cascata em todo o ecossistema de software. De acordo com um porta-voz da empresa, Kimberly Samra, “para garantir relatórios de alta qualidade e acionável, temos um especialista em loop antes de relatar, mas cada vulnerabilidade foi encontrada e reproduzida pelo agente da IA sem intervenção humana. Este termo refere-se à inundação de relatórios de bugs de baixa qualidade, alucinados ou irrelevantes gerados por ferramentas automatizadas, que podem sobrecarregar os mantenedores voluntários de projetos de código aberto. Vlad Ionescu, co-fundador da startup de segurança da AI runSybil , disse que o TechCrunch,”esse é o problema que as pessoas estão sendo dadas. O potencial da tecnologia quando gerenciado adequadamente. Royal Hansen, Vice-Presidente de Engenharia do Google, comemorou as descobertas em x como”uma nova fronteira em uma vulnerabilidade automática”, sugestão”, sugestando”, como uma nova fronteira em que a vulnerabilização automática”, comemorou a descoberta de uma nova fronteira, a descoberta de vulnerabilidades automáticas”, com a descoberta de uma nova fronteira, a descoberta de uma nova fronteira a”_ em branco”> comemorou as descobertas em como”uma nova fronteira na fronteira automática”Desafios. Descobery.full Detalhes Depois que os problemas são corrigidos: https://t.co/9oiaffaatb
-Royal Hansen (@royalhansen) href=”https://twitter.com/royalhansen/status/1952424018663162235?ref_src=twsrc%5etfw”Target=”_ Blank”> agosto 4, 2025
A segurança cibernética
As realizações do Big Sleep se desenrolam no cenário de uma corrida armamentista mais ampla e crescente da IA em segurança cibernética. Não é o único caçador de insetos automatizado no campo; Ferramentas como Runsybil e Xbow também estão ganhando manchetes, com Xbow recentemente Topping apenas uma tabela de líderes de hackerona . Outros gigantes da tecnologia estão construindo sistemas complementares. A Meta, por exemplo, anunciou recentemente o AutoPatchbench para avaliar o quão bem a IA pode corrigir automaticamente os bugs, ao lado do Llamafirewall, uma ferramenta projetada para impedir que os modelos de IA gerem código inseguro em primeiro lugar.
Essa inovação é uma espada de dois gumes. Os mesmos modelos de IA usados para defesa também podem perpetuar práticas de codificação insegura. Pesquisas acadêmicas recentes revelaram que muitos LLMs, treinados em código público do GitHub, aprenderam a replicar bugs antigos, um fenômeno apelidado de problema”envenenado LLM”. A natureza de uso duplo da IA está forçando uma rápida evolução em estratégias defensivas, à medida que os ataques orientados a IA se tornam mais sofisticados e as medidas de segurança tradicionais se mostram insuficientes. Como mehta do Sheetal dos dados da NTT observados em um contexto relacionado,”as ferramentas de segurança fragmentadas não conseguem acompanhar os ataques automatizados de hoje”. O desafio para empresas como o Google é continuar avançando no poder defensivo da IA, ao mesmo tempo em que construir os corrimãos para mitigar os novos riscos que ele cria.