谷歌旗下由人工智能驱动的漏洞猎手刚刚报告了首批安全漏洞。该公司安全副总裁希瑟·阿德金斯(Heather Adkins)周一宣布,基于大语言模型的漏洞研究工具Big Sleep已在多个热门开源软件中发现并报告了20个漏洞。
阿德金斯表示,这款由谷歌AI部门DeepMind与精英黑客团队Project Zero联合开发的工具,首次发现的漏洞主要集中在开源软件领域,包括音视频库FFmpeg和图像处理套件ImageMagick。
由于相关漏洞尚未修复,谷歌暂未披露具体影响范围和严重程度——这是等待漏洞修复期间的标准政策。但Big Sleep发现这些漏洞本身具有重大意义,它标志着这类工具开始取得实际成果,尽管本次案例中仍有人类参与。
“为确保提交高质量、可操作的报告,我们安排了人类专家在提交前进行审核。但每个漏洞都是由AI自主发现并复现的,全程无需人工干预。”谷歌发言人金伯利·萨姆拉(Kimberly Samra)向TechCrunch表示。
谷歌工程副总裁罗亚尔·汉森(Royal Hansen)在X平台发文称,这些发现展现了“自动化漏洞挖掘的新边疆”。目前已有多个基于大语言模型的漏洞挖掘工具投入实用,除Big Sleep外,还包括RunSybil和XBOW等。
XBOW曾因登上漏洞赏金平台HackerOne美国区排行榜首位引发关注。需要强调的是,多数情况下这些报告仍需人类参与验证,正如Big Sleep的运作模式。
开发AI漏洞猎手的初创公司RunSybil联合创始人兼首席技术官弗拉德·约内斯库(Vlad Ionescu)向TechCrunch表示,Big Sleep是“靠谱”项目:“其设计精良,团队成员经验丰富,Project Zero拥有漏洞挖掘专长,DeepMind则具备强大的算力支持。”
尽管这类工具前景广阔,其缺陷同样不容忽视。多个软件项目的维护者抱怨称,收到的漏洞报告实际是AI幻觉产物,有人将其比作漏洞赏金界的“AI垃圾”。
“这就是当前面临的问题——大量看似有价值的报告,实则毫无用处。”约内斯库此前接受采访时坦言。
