Система поиска уязвимостей с ИИ Google Big Sleep обнаружила 20 багов в опенсорсных проектах

Система поиска уязвимостей с искусственным интеллектом ^[1] Google Big Sleep обнаружила ^[2] 20 багов в проектах с открытым исходным кодом, включая аудио- и видеобиблиотеку FFmpeg и пакет для редактирования изображений ImageMagick.

Вице-президент Google по безопасности Хизер Эдкинс объявила, что инструмент Big Sleep, разработанный отделом искусственного интеллекта компании DeepMind и командой хакеров Project Zero, сообщил о первых уязвимостях, в основном в программах с открытым исходным кодом.

Учитывая, что баги ещё не устранены, компания не даёт подробной информации об их влиянии или серьёзности. 

«Чтобы гарантировать высокое качество и практическую ценность отчётов, перед их составлением к нам подключается эксперт-человек, но каждая уязвимость была обнаружена и воспроизведена ИИ-агентом без человеческого вмешательства», — рассказала представитель Google Кимберли Самра.

Ройал Хансен, вице-президент Google по инжинирингу, написал в X, что результаты демонстрируют «новый рубеж в автоматизированном обнаружении уязвимостей».

Помимо Big Sleep, уже существуют такие инструменты, как RunSybil и XBOW. Последний возглавил один из рейтингов в США на платформе поиска багов HackerOne. 

Влад Ионеску, соучредитель и технический директор стартапа программ поиска багов RunSybi, заявил, что Big Sleep — «законный» проект, учитывая его «хороший дизайн и то, что стоящие за ним люди знают, что делают». 

Тем не менее, у таких инструментов есть и существенные недостатки. Несколько пользователей, ведущих различные программные проекты, жаловались на сообщения об ошибках, которые на самом деле являются галлюцинациями.

В 2024 году сообщалось, что Big Sleep обнаружил ^[3] первую уязвимость отрицательного переполнения (underflow) буфера стека с возможностью реализации эксплойтов в SQLite. Разработчикам сообщили о ней в начале октября. Проблему выявили до её появления в официальном релизе, так что она не затронула пользователей SQLite.