Googleは、AIを搭載した脆弱性研究者であるBig Sleepが、さまざまな一般的なオープンソースソフトウェアで20のセキュリティ欠陥を特定し、報告したことを発表しました。これは、GoogleのAI部門DeepMindとそのエリートハッキングチームプロジェクトゼロによって開発されたLLMベースのツールによって発見された脆弱性の最初のバッチをマークします。
Googleのセキュリティ担当副社長であるHeather Adkinsによると、Big Sleepの最初の調査結果は、主にオーディオおよびビデオライブラリFFMPEGや画像編集スイートImageMagickを含むオープンソースソフトウェアにありました。これらの脆弱性の影響と重大度に関する具体的な詳細は現在差し控えられており、修正が保留されていますが、Googleはこれらの発見の重要性を、実際の脆弱性発見におけるAIツールの成長能力を示していることを強調しています。
Googleの広報担当者であるKimberly Samraは、「高品質で実用的な報告を確保するために、報告する前にループに人間の専門家がいるが、人間の介入なしでAIエージェントによって各脆弱性が見つかり、再現された」と述べ、プロセスを明らかにしました。これは、人間の検証ステップを強調して、Ai-Centifiedの欠陥の正当性を確保します。
Googleのエンジニアリング担当副社長であるRoyal Hansenは、Xに関するBig Sleepの業績を「自動化された脆弱性発見における新しいフロンティア」を実証していると特徴付けました。脆弱性検出のためのLLM駆動のツールの出現は、RunsybilやXbowなどの他の顕著な例とともに、成長する傾向です。
Xbowは、バグバウンティプラットフォームのハッケロンで米国のリーダーボードをトッピングすることで注目を集めています。 Big Sleepと同様に、これらのAIを搭載したバグハンターの多くは、報告された脆弱性の妥当性を確認するために人間の検証を取り入れています。 Runsybilの共同設立者でありCTOであるVlad Ionescuは、「合法的な」プロジェクトとしてビッグスリープを称賛し、「良いデザイン、その背後にある人々が何をしているのかを知っている、プロジェクトゼロにはバグの発見の経験があり、Deepmindには火力とトークンが投げられます」と称賛しました。
計り知れない約束にもかかわらず、これらのAIツールにも課題があります。ソフトウェアメンテナーは、AIによって生成された「幻覚」バグレポートの増加について懸念を表明しています。 Ionescuは以前、「それは人々が遭遇している問題であり、金のように見えるものをたくさん手に入れているが、実際にはただのがらくただ」と述べた。これは、AI主導の脆弱性発見の新生分野での人間の監視の継続的な必要性を強調しています。
