▍本報訊 ▍
谷歌的人工智能(AI)除錯工具剛剛報告了首批安全漏洞。谷歌安全副總裁阿德金斯(Heather Adkins)宣布,基於大型語言模型(LLM)研發的安全漏洞研究工具Big Sleep,已經在多款熱門開源軟體中發現並回報了20個漏洞。
阿德金斯表示,由谷歌AI部門DeepMind及其頂尖駭客團隊Project Zero共同開發的Big Sleep,首次通報發現漏洞,這些漏洞主要存在於音訊和視訊庫FFmpeg、以及圖像編輯套件ImageMagick等開源軟體中。
鑑於這些漏洞尚未修補,目前尚不清楚其影響或嚴重程度,況且谷歌不願提供具體細節,那是等待修補漏洞的標準政策。然而,Big Sleep能夠自行發現漏洞本身就意義重大,表明了這類工具已經開始產生實際成效,即使此案例仍有人類參與。
谷歌發言人薩姆拉(Kimberly Samra)表示:「為了確保通報內容具備高品質並且可供採取行動,我們在通報前會由人類專家進行審查,但每個漏洞確實都是由AI代理發現並重現,沒有任何人為介入。」
谷歌工程副總裁漢森(Royal Hansen)也在X平台上發文指出,這些發現展現出「自動化漏洞偵查已經開闢了新的領域」。
由大型語言模型驅動的工具已經實現尋找和發現漏洞的能力,除了Big Sleep之外,還有RunSybil和XBOW等。
XBOW在漏洞懸賞平台HackerOne的一個美國排行榜上名列前茅後,立刻登上頭條新聞。業界人士稱,值得注意的是,在多數情況下,這些通報過程的某個階段都有人力驗證,負責確認由AI驅動的除錯工具所發現的漏洞是否為真正的安全問題,Big Sleep的運作也是如此。
這些工具顯然具有巨大潛力,但也存在一些明顯的缺點。不少維護各種軟體專案的人士抱怨,許多漏洞通報其實是AI產生的「幻覺」。
