%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%23061b40;%20}%20.st1%20{%20fill:%20%23306af1;%20}%20.st2%20{%20fill:%20%235ce5cf;%20}%20%3c/style%3e%3c/defs%3e%3cg%3e%3cpath%20class='st0'%20d='M55,10.5h9v3h-9v9h12V7.5h-12v3ZM64,19.5h-6v-3h6v3Z'/%3e%3cpolygon%20class='st0'%20points='69%2016.5%2078%2016.5%2078%2019.5%2069%2019.5%2069%2022.5%2081%2022.5%2081%2013.5%2072%2013.5%2072%2010.5%2081%2010.5%2081%207.5%2069%207.5%2069%2016.5'/%3e%3cpolygon%20class='st0'%20points='95%2010.5%2095%207.5%2083%207.5%2083%2022.5%2095%2022.5%2095%2019.5%2086%2019.5%2086%2016.5%2095%2016.5%2095%2013.5%2086%2013.5%2086%2010.5%2095%2010.5'/%3e%3cpath%20class='st0'%20d='M40,1.5v21h11.6l1.4-1.4v-7.6h0c0,0-1.4-1.5-1.4-1.5l1.4-1.4V2.9l-1.4-1.4h-11.6ZM50,19.5h-7v-6h7v6ZM50,10.5h-7v-6h7v6Z'/%3e%3c/g%3e%3cpath%20class='st1'%20d='M23.1,24L14.7,4.8l-4.9,11.2h3.8l-1.8,4H3.3L12.1,0H2C.9,0,0,.9,0,2v20c0,1.1.9,2,2,2h21.1Z'/%3e%3cpath%20class='st2'%20d='M34,0h-16.8l10.6,24h6.2c1.1,0,2-.9,2-2V2C36,.9,35.1,0,34,0ZM32.5,20h-4V4h4v16Z'/%3e%3c/svg%3e)
近日,Google 安全副總裁 Heather Adkins 在一場活動中宣佈,其由人工智能驅動的漏洞研究員 Big Sleep 已在多款流行的開源軟件中發現並報告了20個安全漏洞。
這些漏洞主要出現在音頻和視頻處理庫 FFmpeg 以及圖像處理軟件 ImageMagick 等項目中。Big Sleep 是由 Google 的人工智能部門 DeepMind 與其頂尖黑客團隊 Project Zero 共同開發的。
儘管這些漏洞尚未修復,Google 方面目前沒有對漏洞的具體影響或嚴重性提供詳細信息,這種保密性在等待修復過程中是常見的做法。不過,Big Sleep 發現漏洞的事實本身具有重要意義,這標誌着基於 AI 的安全檢測工具開始顯現出實際效果。
Google 發言人金伯利・薩姆拉表示,爲了確保漏洞報告的質量和可操作性,團隊會在報告發布前引入人類專家進行審查,但每一個漏洞的發現和重現都是由人工智能自主完成的,無需人工干預。Google 工程副總裁 Royal Hansen 在社交平臺 X 上指出,這一發現標誌着 “自動化漏洞發現領域的嶄新進展”,這表明基於大型語言模型(LLM)的工具已經能夠有效識別和發現安全漏洞。
除了 Big Sleep,Google 還開發了其他 AI 漏洞獵手,如 RunSybil 和 XBOW 等。XBOW 在漏洞賞金平臺 HackerOne 上表現優異,受到了媒體的廣泛關注。然而,在報告漏洞的過程中,許多項目維護者曾表示,有時他們接收到的錯誤報告並不真實,甚至將其稱爲 “漏洞賞金計劃版的人工智能垃圾”。儘管存在這些問題,RunSybil 的聯合創始人兼首席技術官 Vlad Ionescu 強調 Big Sleep 是一個 “合法” 的項目,因其背後有經驗豐富的 Project Zero 和強大的 DeepMind 團隊支持。
總的來看,這一進展展示了 AI 在網絡安全領域的潛力,雖然也暴露了一些不足之處,未來仍需不斷完善與改進。
劃重點:
🌐 Big Sleep 成功發現20個安全漏洞,主要存在於 FFmpeg 和 ImageMagick 等開源軟件中。
🔍 AI 工具在漏洞發現領域取得新進展,顯示其實際應用潛力。
👥 人工審查確保報告質量,AI 仍需人類專家的參與與驗證。
