近日,Google 安全副总裁 Heather Adkins 在一场活动中宣布,其由人工智能驱动的漏洞研究员 Big Sleep 已在多款流行的开源软件中发现并报告了20个安全漏洞。
这些漏洞主要出现在音频和视频处理库 FFmpeg 以及图像处理软件 ImageMagick 等项目中。Big Sleep 是由 Google 的人工智能部门 DeepMind 与其顶尖黑客团队 Project Zero 共同开发的。
尽管这些漏洞尚未修复,Google 方面目前没有对漏洞的具体影响或严重性提供详细信息,这种保密性在等待修复过程中是常见的做法。不过,Big Sleep 发现漏洞的事实本身具有重要意义,这标志着基于 AI 的安全检测工具开始显现出实际效果。
Google 发言人金伯利・萨姆拉表示,为了确保漏洞报告的质量和可操作性,团队会在报告发布前引入人类专家进行审查,但每一个漏洞的发现和重现都是由人工智能自主完成的,无需人工干预。Google 工程副总裁 Royal Hansen 在社交平台 X 上指出,这一发现标志着 “自动化漏洞发现领域的崭新进展”,这表明基于大型语言模型(LLM)的工具已经能够有效识别和发现安全漏洞。
除了 Big Sleep,Google 还开发了其他 AI 漏洞猎手,如 RunSybil 和 XBOW 等。XBOW 在漏洞赏金平台 HackerOne 上表现优异,受到了媒体的广泛关注。然而,在报告漏洞的过程中,许多项目维护者曾表示,有时他们接收到的错误报告并不真实,甚至将其称为 “漏洞赏金计划版的人工智能垃圾”。尽管存在这些问题,RunSybil 的联合创始人兼首席技术官 Vlad Ionescu 强调 Big Sleep 是一个 “合法” 的项目,因其背后有经验丰富的 Project Zero 和强大的 DeepMind 团队支持。
总的来看,这一进展展示了 AI 在网络安全领域的潜力,虽然也暴露了一些不足之处,未来仍需不断完善与改进。
划重点:
🌐 Big Sleep 成功发现20个安全漏洞,主要存在于 FFmpeg 和 ImageMagick 等开源软件中。
🔍 AI 工具在漏洞发现领域取得新进展,显示其实际应用潜力。
👥 人工审查确保报告质量,AI 仍需人类专家的参与与验证。