Google 称其 AI 漏洞猎手 Big Sleep 首次发现 20 个安全漏洞

近日，Google 安全副总裁 Heather Adkins 在一场活动中宣布，其由人工智能驱动的漏洞研究员 Big Sleep 已在多款流行的开源软件中发现并报告了20个安全漏洞。

这些漏洞主要出现在音频和视频处理库 FFmpeg 以及图像处理软件 ImageMagick 等项目中。Big Sleep 是由 Google 的人工智能部门 DeepMind 与其顶尖黑客团队 Project Zero 共同开发的。

尽管这些漏洞尚未修复，Google 方面目前没有对漏洞的具体影响或严重性提供详细信息，这种保密性在等待修复过程中是常见的做法。不过，Big Sleep 发现漏洞的事实本身具有重要意义，这标志着基于 AI 的安全检测工具开始显现出实际效果。

Google 发言人金伯利・萨姆拉表示，为了确保漏洞报告的质量和可操作性，团队会在报告发布前引入人类专家进行审查，但每一个漏洞的发现和重现都是由人工智能自主完成的，无需人工干预。Google 工程副总裁 Royal Hansen 在社交平台 X 上指出，这一发现标志着 “自动化漏洞发现领域的崭新进展”，这表明基于大型语言模型（LLM）的工具已经能够有效识别和发现安全漏洞。

除了 Big Sleep，Google 还开发了其他 AI 漏洞猎手，如 RunSybil 和 XBOW 等。XBOW 在漏洞赏金平台 HackerOne 上表现优异，受到了媒体的广泛关注。然而，在报告漏洞的过程中，许多项目维护者曾表示，有时他们接收到的错误报告并不真实，甚至将其称为 “漏洞赏金计划版的人工智能垃圾”。尽管存在这些问题，RunSybil 的联合创始人兼首席技术官 Vlad Ionescu 强调 Big Sleep 是一个 “合法” 的项目，因其背后有经验丰富的 Project Zero 和强大的 DeepMind 团队支持。

总的来看，这一进展展示了 AI 在网络安全领域的潜力，虽然也暴露了一些不足之处，未来仍需不断完善与改进。