Pemburu bug bertenaga AI Google, Big Sleep, telah berhasil mengidentifikasi dan melaporkan 20 kerentanan keamanan baru dalam perangkat lunak sumber terbuka populer. Pencapaiannya adalah diumumkan Pada hari Senin oleh Heather Adkins, wakil presiden keamanan Google. Perpustakaan Media FFMPEG dan Suite Editing Imagemagick. Ini menandai tonggak penting untuk penemuan kerentanan otomatis.
Kolaborasi itu sendiri patut diperhatikan. Project Zero adalah tim peneliti keamanan Google yang dikenal karena menemukan kerentanan berdampak tinggi, sementara DeepMind adalah divisi penelitian AI andalannya. Menggabungkan pola pikir keamanan ofensif Project Zero dengan Prowess AI DeepMind memberi tidur besar keunggulannya yang unik.
power. While Google confirmed a human expert reviews each report to ensure quality, the initial discovery and reproduction of the bugs were handled entirely by the AI without human intervention.
From First Find to Finding Twenty: Big Sleep’s Rapid Evolution
This latest announcement is not an isolated event but the culmination of a rapid and deliberate evolution. Perjalanan proyek dimulai dengan konsep bukti penting pada bulan November 2024, ketika tidur besar mengungkap kerentanan pertamanya: sebuah penyangga tumpukan di dalam mesin basis data SQLite yang ada di mana-mana.
Penemuan awal itu, sementara signifikan, ditemukan sebelum kode yang disempurnakan dirilis di depan umum, membuktikan potensi agen tersebut. Taruhannya dinaikkan pada bulan Juli 2025, ketika Google mengungkapkan tidur yang besar telah secara proaktif menetralkan ancaman yang akan terjadi.
Dalam hal itu, ia menemukan cacat SQLite yang kritis, CVE-2025-6965, yaitu di ambang eksploitasi. Langkah ini mengisyaratkan perubahan kritis dari penemuan bug sederhana ke pencegahan ancaman yang aktif dan dipimpin oleh intelijen. Itu adalah perlombaan melawan penyerang, dan AI menang.
Batch baru dari 20 kerentanan, login pada , menunjukkan proyek ini sekarang berhasil meningkatkan kemampuan penemuan otonomnya. Pilihan target seperti FFMPEG dan Imagemagick bersifat strategis, karena kelemahan dalam perpustakaan dasar ini dapat memiliki dampak cascading di seluruh ekosistem perangkat lunak.
Backstop manusia: menyeimbangkan otomatisasi dengan akurasi
Menurut juru bicara perusahaan, Kimberly Samra,”untuk memastikan laporan yang berkualitas tinggi dan dapat ditindaklanjuti, kami memiliki ahli manusia dalam loop sebelum melaporkan, tetapi setiap kerentanan ditemukan dan direproduksi oleh agen AI tanpa intervensi manusia.”
Model manusia-in-loop ini sangat penting untuk mencegah masalah industri yang diketahui sebagai”AI slop.”Istilah ini mengacu pada banjir laporan bug berkualitas rendah, berhalusinasi, atau tidak relevan yang dihasilkan oleh alat otomatis, yang dapat membanjiri pengelola sukarelawan dari proyek open-source.
Sentimen dalam komunitas pengembang adalah salah satu optimisme hati-hati yang dicampur dengan kelelahan. Seperti Vlad Ionescu, salah satu pendiri startup keamanan AI runsybil , mengatakan kepada TechCrunch,”Itu masalahnya.”Potensi teknologi saat dikelola dengan benar. Royal Hansen, Wakil Presiden Teknik Google, Tidur besar di sini! Agen AI kami menemukan serangkaian kerentanan yang digunakan di atas & peninjauan yang digunakan di sini. ditetapkan: https://t.co/9oiaffoatb
-Royal Hansen (@royalhansen) href=”https://twitter.com/royalhansen/status/1952424018663162235?ref_src=twsrc%5Etfw” target=”_blank”>August 4, 2025
An Escalating AI Arms Race in Cybersecurity
Prestasi Big Sleep terungkap dengan latar belakang perlombaan senjata AI yang lebih luas dan meningkat di cybersecurity. Ini bukan satu-satunya pemburu serangga otomatis di lapangan; Alat-alat seperti Runsybil dan Xbow juga menjadi berita utama, dengan Xbow baru-baru ini Mengatasi leaderboard hackerone .
Trend ini meluas ke luar hanya temuan hanya. Raksasa teknologi lainnya sedang membangun sistem pelengkap. Meta, misalnya, baru-baru ini diumumkan AutoPatchBench untuk mengevaluasi seberapa baik AI dapat secara otomatis memperbaiki bug, bersama LlamafireWall, sebuah alat yang dirancang untuk mencegah model AI dari menghasilkan kode tidak aman di tempat pertama.
Inovasi ini adalah pedang bermata ganda. Model AI yang sama yang digunakan untuk pertahanan juga dapat melanggengkan praktik pengkodean yang tidak aman. Penelitian akademis baru-baru ini mengungkapkan bahwa banyak LLM, yang dilatih pada kode publik dari GitHub, telah belajar mereplikasi bug lama, sebuah fenomena yang dijuluki masalah”LLM yang beracun”.
Ini menciptakan siklus setan di mana alat yang dimaksudkan untuk membangun masa depan mewarisi kesalahan masa lalu. Sifat ganda AI memaksa evolusi cepat dalam strategi defensif, karena serangan yang digerakkan AI menjadi lebih canggih dan langkah-langkah keamanan tradisional terbukti tidak mencukupi.
Para pemimpin industri berpendapat bahwa pertahanan bertenaga AI yang terintegrasi adalah satu-satunya jalur yang layak ke depan. Seperti yang dicatat oleh Sheetal Mehta dari NTT Data dalam konteks terkait,”Alat keamanan yang terfragmentasi tidak dapat mengikuti serangan otomatis saat ini.”Tantangan bagi perusahaan seperti Google adalah untuk terus memajukan kekuatan defensif AI sambil membangun pagar untuk mengurangi risiko baru yang diciptakannya.
