|
ИИ самостоятельно обнаружил уязвимости в ПО
|
|
|
|
Поисковик ошибок Google на базе искусственного интеллекта только что сообщил о первой партии уязвимостей в системе безопасности. Хизер Адкинс, вице-президент Google по безопасности, объявила в понедельник, что исследователь уязвимостей Big Sleep, базирующийся в LLM, обнаружил и сообщил о 20 уязвимостях в различных популярных программах с открытым исходным кодом.
|
|
|
|
Адкинс сказал, что Big Sleep, который разрабатывается отделом искусственного интеллекта компании DeepMind, а также элитной командой хакеров Project Zero, впервые обнаружил уязвимости, в основном в программном обеспечении с открытым исходным кодом, таком как аудио- и видеотека FFmpeg и пакет для редактирования изображений ImageMagick.
|
|
|
|
Учитывая, что уязвимости еще не устранены, у нас нет подробной информации об их влиянии или серьезности, поскольку Google пока не хочет предоставлять подробную информацию, что является стандартной политикой в ожидании исправления ошибок. Но тот простой факт, что Big Sleep обнаружил эти уязвимости, важен, поскольку он показывает, что эти инструменты начинают приносить реальные результаты, даже если в этом деле участвовал человек.
|
|
|
|
“Чтобы обеспечить высокое качество и действенность отчетов, мы привлекаем эксперта-человека для подготовки отчетов, но каждая уязвимость была обнаружена и воспроизведена агентом искусственного интеллекта без вмешательства человека”, - заявила TechCrunch представитель Google Кимберли Самра.
|
|
|
|
|
|
|
Ройал Хансен (Royal Hansen), вице-президент Google по инженерным вопросам, написал на X, что результаты исследования демонстрируют “новый рубеж в автоматизированном обнаружении уязвимостей”.
|
|
|
|
Инструменты на базе LLM, которые могут искать уязвимости, уже стали реальностью. Помимо Big Sleep, есть еще RunSybil и XBOW, среди прочих.
|
|
|
|
XBOW попала в заголовки газет после того, как заняла первое место в одном из рейтинговых списков США на платформе bug bounty HackerOne. Важно отметить, что в большинстве случаев в этих отчетах на определенном этапе процесса присутствует человек, который проверяет, обнаружил ли багхантер на базе искусственного интеллекта законную уязвимость, как в случае с Big Sleep.
|
|
|
|
Влад Ионеску, соучредитель и технический директор RunSybil, стартапа, разрабатывающего багхантеры на базе искусственного интеллекта, сказал TechCrunch, что Big Sleep - это “законный” проект, учитывая, что у него “хороший дизайн, люди, стоящие за ним, знают, что делают, у Project Zero есть опыт поиска ошибок и У DeepMind есть огневая мощь и жетоны, которыми можно воспользоваться”.
|
|
|
|
Очевидно, что эти инструменты многообещающи, но у них есть и существенные недостатки. Несколько человек, которые занимаются разработкой различных программных проектов, жаловались на сообщения об ошибках, которые на самом деле являются галлюцинациями, а некоторые называют их "вознаграждением за ошибки", эквивалентом "помоев ИИ".
|
|
|
|
“Проблема, с которой сталкиваются люди, заключается в том, что мы получаем много вещей, которые выглядят как золото, но на самом деле это просто дерьмо”, - сказал Ионеску ранее TechCrunch.
|
|
|
|
Источник
|
