A
Google AI-hajtású Bug Hunter, a Big Sleep, sikeresen azonosította és 20 új biztonsági rést jelentett a népszerű nyílt forráskódú szoftverekben. Az eredmény Hétfőn Heather Adkins, a Google Biztonsági Ügynökség alelnöke, a Google Biztonsági Alelnöke. Az FFMPEG Media Library és az ImageMagick szerkesztési csomag. Ez jelentős mérföldkövet jelent az automatizált sebezhetőség felfedezésében.
Maga az együttműködés figyelemre méltó. A Project Zero a Google biztonsági kutatói csoportja, amelyről ismert, hogy nagy hatású sebezhetőségeket talál, míg a DeepMind a zászlóshajó AI kutatási osztálya. A Project Zero sértő biztonsági gondolkodásmódjának és a DeepMind AI bátorságának kombinálása a Big Sleep egyedi élét adja. Míg a Google megerősítette, hogy az emberi szakértők minden jelentést a minőség biztosítása érdekében felülvizsgáltak, a hibák kezdeti felfedezését és reprodukcióját az AI teljes egészében emberi beavatkozás nélkül kezelte. A projekt utazása egy figyelemre méltó koncepcióval kezdődött, 2024 novemberében, amikor a Big Sleep feltárta az első sebezhetőségét: egy verem puffer alulfolyást a mindenütt jelenlévő SQLite adatbázis-motorban. A téteket 2025 júliusában jelentősen felvetették, amikor a Google feltárta, hogy a Big Sleep proaktívan semlegesítette a közvetlen fenyegetést. Ez a lépés jelezte a kritikus elmozdulást az egyszerű hibafelismerésről az aktív, intelligencia által vezetett fenyegetések megelőzésére. Ez egy verseny volt a támadók ellen, és az AI nyert. Tracker , azt mutatja, hogy a projekt sikeresen méretezi autonóm felfedezési képességeit. A célok választása, mint például az FFMPEG és az ImageMagick stratégiai, mivel ezekben az alapvető könyvtárakban a hibák lépcsőzetes hatással lehetnek a szoftver ökoszisztémáján. A vállalat szóvivője, Kimberly Samra szerint „A magas színvonalú és cselekvési jelentések biztosítása érdekében a beszámolás előtt humán szakértőnk van a hurokban, de az AI-ügynök minden egyes sebezhetőségét emberi beavatkozás nélkül találták meg és reprodukáltuk. Ez az ember-hurok-modell döntő jelentőségű az„ AI Slop “néven ismert növekvő ipari probléma megelőzésére. Ez a kifejezés az automatizált eszközök által generált alacsony minőségű, hallucinált vagy irreleváns hibajelentésekre utal, amelyek eláraszthatják a nyílt forráskódú projektek önkéntes karbantartóit. Mint Vlad Ionescu, az AI Security Startup runsybil társalapítója, azt mondta a TechCrunchnak: „Ez a probléma, amelybe az emberek futnak, az, hogy sok olyan dolgot kapunk, amelyben aranynak látszik, de valójában csörög. A technológia potenciálja megfelelő kezelése esetén. Royal Hansen, a Google Mérnöki alelnöke, Megünnepelte az X új határértékeket, amelyek az jó előnyöket jelezték, a jó előnyöket, amelyek a jó előnyöket javasolják az AI kutatásának előnyeire.”Kihívások. Discovery.full Részletek A problémák javítása után: https://t.co/9oiaffoatb
-Royal Hansen (@royalhansen) augusztus 4., 2025
Ascalating Ai AIS AIS AIS. A kiberbiztonság
A Big Sleep eredményei a szélesebb körű, a kiberbiztonságban fokozódó AI fegyverkezési verseny hátterében bontakoznak be. Ez nem az egyetlen automatizált Bug Hunter a terepen; Az olyan eszközök, mint a Runsybil és az Xbow, szintén címsorokat készítenek, a közelmúltban az XBOW egy hackerone ranglistán fejjel . Más technológiai óriások kiegészítő rendszereket építenek. Például a Meta a közelmúltban bejelentette az AutoPatchBench-t, hogy értékelje, hogy az AI mennyire képes automatikusan kijavítani a hibákat, a Llamafirewall mellett, egy olyan eszköz mellett, amelynek célja az AI modellek, hogy elsősorban a bizonytalan kódot generálják. Ugyanazok a védelemhez használt AI modellek is megőrizhetik a bizonytalan kódolási gyakorlatokat. A legfrissebb tudományos kutatások során kiderült, hogy a Github nyilvános kódexén képzett LLM-ek megtanultak megismételni a régi hibákat, ezt a jelenséget a „megmérgezett LLM” problémának nevezik. Az AI kettős felhasználású jellege a védekező stratégiák gyors fejlődését kényszeríti, mivel az AI-vezérelt támadások kifinomultabbá válnak, és a hagyományos biztonsági intézkedések nem elégségesek. Ahogyan az NTT-adatok Sheetal Mehta egy kapcsolódó kontextusban megjegyezte, „a fragmentált biztonsági eszközök nem tudnak lépést tartani a mai automatizált támadásokkal.” Az olyan vállalatok számára, mint a Google, az a kihívás, hogy folytatjuk az AI védekező erejének előmozdítását, miközben a védőkorlátok felépítése az általa létrehozott új kockázatok enyhítése érdekében.
