Google秀資安實力!旗下AI工具「Big Sleep」揪出20個開源軟體漏洞
Newtalk新聞
綜合外媒報導,Google 資安副總裁 Heather Adkins 近日宣布,其基於大型語言模型的 AI 工具——「Big Sleep」已成功發現,並回報 20個熱門開源軟體中的安全漏洞,此成果由 Google 旗下 DeepMind 與資安團隊 Project Zero 合作開發,目標包括 FFmpeg 與 ImageMagick 等多媒體處理工具。
據《Times Now》報導,Big Sleep 的運作機制是模擬惡意行為者操作,系統性檢測程式碼與網路服務中的潛在弱點,該工具具備環境學習能力,能調整策略並識別多步驟複雜漏洞,一名谷歌員工表示,AI 並非取代人類研究員,而是強化其能力,例如在短時間內完成數千次測試,讓人類專注於策略性工作。
《Hindustan Times》指出,Big Sleep 發現的漏洞分布於開源軟體及谷歌的內部平台,雖技術細節並未公開,但已由人類專家審核驗證,Google 重申 AI 的輔助角色,並提到類似工具如「RunSybil」和「XBOW」也在漏洞獵捕的領域上表現突出,後者更曾登上「HackerOne」漏洞懸賞排行榜。然而,部分開發者對AI產生的錯誤報告表示擔憂,這類報告常被稱為「AI 垃圾」(AI slop),認為可能包含虛構問題。
《TechCrunch》補充,此次發現是 Big Sleep 首次回報漏洞,目標多為音訊與視訊處理函式庫 FFmpeg 和圖像編輯工具 ImageMagick 等廣泛使用的開源工具,谷歌工程副總裁 Royal Hansen 稱此為「自動化漏洞研究的新前沿」,儘管 AI 工具潛力巨大,「RunSybil」 共同創辦人 Vlad Ionescu 也肯定 Big Sleep 是個「名副其實的項目」,部分軟體專案維護者仍抱怨 AI 可能產生「幻覺」(hallucination)報告,需人類把關,谷歌發言人 Kimberly Samra 強調,所有漏洞皆經人工審核後通報,確保品質與可行性。
外媒指出,谷歌強調,這些漏洞完全由 AI 獨立發現並重現,無需人為介入,標誌著自動化漏洞研究的重大突破。目前漏洞細節暫未公開,待修補完成後才會釋出進一步資訊。
留言 0