Google 的 AI 驅動力漏洞獵人 Big Sleep 已報告其首批安全漏洞。Google 安全副總裁 Heather Adkins 於週一宣佈,由 DeepMind 開發並與 Project Zero 精英駭客團隊合作的 LLM 基漏洞研究員 Big Sleep,在多個熱門開源軟體中發現並報告了 20 個缺陷。這些漏洞主要出現在音訊和影片庫 FFmpeg 以及圖片編輯套件 ImageMagick 等開源軟體中。由於漏洞尚未修復,Google 暫未提供影響或嚴重程度的詳細資訊,這是其等待漏洞修復時的標準政策。Google 發言人 Kimberly Samra 表示,雖然報告前有人類專家介入確保品質,但每個漏洞均由 AI 代理發現並重現,無需人類幹預。Google 工程副總裁 Royal Hansen 在 X 上指出,這些發現展示了自動化漏洞發現的「新前沿」。除了 Big Sleep,還有 RunSybil 和 XBOW 等工具。XBOW 曾登上漏洞賞金平臺 HackerOne 的美國排行榜榜首。RunSybil 共同創辦人兼技術長 Vlad Ionescu 認為 Big Sleep 是合法專案,因其設計良好,且背後團隊具備專業經驗與資源。儘管這些工具充滿希望,但也存在顯著缺點。許多軟體維護者抱怨收到實際是幻覺生成的漏洞報告,有人稱其為漏洞賞金領域的 AI 垃圾。Ionescu 曾指出,人們面臨的問題是收到大量看似寶貴但實際是垃圾的報告。
Google 表示其基於 AI 的漏洞搜尋工具發現 20 個安全漏洞
分享這篇文章: