Штучний інтелект від Google, створений для пошуку вразливостей у програмному забезпеченні, вперше показав результат. Інструмент під назвою Big Sleep, який поєднує можливості DeepMind та команди хакерів Project Zero, нещодавно повідомив про першу партію реальних загроз. За словами віцепрезидентки з безпеки Google Гізер Адкінс, ШІ виявив 20 вразливостей у популярних проєктах з відкритим кодом.
Про це у своїй статті розповідає видання Techcrunch.
Серед уразливих застосунків — бібліотека обробки медіафайлів FFmpeg та графічний інструмент ImageMagick. Через те, що помилки ще не виправлені, компанія не розкриває їхні подробиці чи рівень ризику. Такий підхід є стандартною практикою, поки розробники не усунуть загрози. Проте сам факт виявлення проблем автоматизованим агентом підтверджує ефективність нових інструментів.
ШІ-агент працював повністю автономно
Команда Google наголошує, що вразливості були виявлені саме агентом ШІ, а не людиною. Хоча експерт брав участь у поданні звітів, сама ідентифікація та відтворення помилок відбувалися без участі людей. Представниця компанії Кімберлі Самра заявила, що Big Sleep самостійно проводив аналіз і перевірку кодів.
Роял Хансен, віцепрезидент Google з інженерії, назвав ці результати початком «нової ери в автоматизованому пошуку вразливостей». Такий підхід відкриває потенціал для масштабного тестування програмного забезпечення без необхідності ручного аналізу. Це особливо важливо в умовах постійного зростання складності та обсягів цифрових систем.
Big Sleep — не єдиний інструмент, який працює в цьому напрямку. Серед інших розробок RunSybil та XBOW, які також фокусуються на автоматичному виявленні вразливостей. Особливу увагу привернув XBOW, який очолив рейтинг платформи HackerOne, відомої системи винагород за знайдені помилки в безпеці. Ці сервіси демонструють, що ринок швидко адаптується до нових можливостей ШІ.
Влад Іонеску, співзасновник RunSybil, позитивно оцінив Big Sleep як серйозний і добре організований проєкт. За його словами, участь DeepMind та Project Zero надає рішенню потужного технічного підґрунтя. Крім того, команда має достатньо ресурсів, щоб масштабувати цю систему на глобальному рівні.
Виклики та обмеження нового підходу
Незважаючи на потенціал, інструменти на базі LLM не позбавлені недоліків. Деякі користувачі скаржаться на фальшиві позитивні результати, які видаються системою як вразливості, але насправді такими не є. Це явище вже отримало назву «галюцинацій ШІ» в сфері кібербезпеки. Через це частина спільноти висловлює занепокоєння щодо надійності таких систем.
Іонеску прямо зазначив, що серед великої кількості звітів часто трапляються помилкові або беззмістовні знахідки. За його словами:
«Багато з того, що виглядає як золото, виявляється мотлохом»
Ці застереження не применшують важливість Big Sleep, але підкреслюють, що ШІ у сфері безпеки поки що не здатен повністю замінити людську експертизу.
Також нещодавно видання AI360 розповідали про те, що компанія Google представив інструмент ШІ для створення додатків.
У відповідь на зростаючу популярність інструментів кодування на базі штучного інтелекту, Google представив свій експериментальний продукт під назвою Opal. Цей інструмент дозволяє створювати міні-вебдодатки лише за допомогою текстових описів, що відкриває можливості розробки навіть для людей без технічної освіти. Opal наразі доступний у США через платформу Google Labs, яка слугує майданчиком для тестування інновацій.
