Ο AI εντοπιστής σφαλμάτων της Google παρουσίασε την πρώτη του λίστα τρωτών σημείων ασφαλείας.
Η Χέδερ Άντκινς, αντιπρόεδρος ασφαλείας της Google, ανακοίνωσε τη Δευτέρα ότι ο ερευνητής ευπαθειών βασισμένος σε μεγάλα γλωσσικά μοντέλα (LLM), με την ονομασία Big Sleep, εντόπισε και ανέφερε 20 ευπάθειες σε διάφορα δημοφιλή λογισμικά ανοικτού κώδικα.
Η Άντκινς δήλωσε ότι το Big Sleep, το οποίο αναπτύχθηκε από το τμήμα τεχνητής νοημοσύνης DeepMind της Google σε συνεργασία με την ελίτ ομάδα χάκερ Project Zero, εντόπισε για πρώτη φορά ευπάθειες – κυρίως σε λογισμικά ανοικτού κώδικα, όπως η βιβλιοθήκη ήχου και βίντεο FFmpeg και η σουίτα επεξεργασίας εικόνας ImageMagick.
Δεδομένου ότι οι ευπάθειες δεν έχουν ακόμα επιδιορθωθεί, δεν υπάρχουν λεπτομέρειες σχετικά με τη σοβαρότητα ή τις επιπτώσεις τους, καθώς η Google δεν θέλει προς το παρόν να δώσει περισσότερες πληροφορίες – κάτι που αποτελεί συνηθισμένη πρακτική μέχρι να επιλυθούν τα προβλήματα. Ωστόσο, το γεγονός ότι το Big Sleep τις εντόπισε θεωρείται σημαντικό, καθώς δείχνει πως αυτά τα εργαλεία αρχίζουν να αποδίδουν ουσιαστικά αποτελέσματα, έστω κι αν υπήρξε ανθρώπινη εμπλοκή σε κάποιο στάδιο.
«Για να διασφαλίσουμε ότι οι αναφορές είναι ποιοτικές και αξιοποιήσιμες, υπάρχει άνθρωπος ειδικός που εμπλέκεται πριν την τελική αναφορά, αλλά κάθε ευπάθεια εντοπίστηκε και αναπαράχθηκε από τον AI πράκτορα χωρίς ανθρώπινη παρέμβαση», δήλωσε η εκπρόσωπος της Google, Κίμπερλι Σάμρα, στο TechCrunch.
Ο Ρόιαλ Χάνσεν, αντιπρόεδρος μηχανικής της Google, έγραψε στην πλατφόρμα X ότι τα ευρήματα αυτά δείχνουν «ένα νέο σύνορο στην αυτοματοποιημένη ανίχνευση ευπαθειών».
Τα εργαλεία που βασίζονται σε LLM και μπορούν να αναζητούν και να εντοπίζουν ευπάθειες είναι πλέον πραγματικότητα. Εκτός από το Big Sleep, υπάρχουν και άλλα όπως το RunSybil και το XBOW.
Το XBOW έχει τραβήξει τα φώτα της δημοσιότητας αφού βρέθηκε στην κορυφή μιας από τις αμερικανικές λίστες κατάταξης στην πλατφόρμα bug bounty HackerOne. Αξίζει να σημειωθεί ότι, στις περισσότερες περιπτώσεις, οι αναφορές ευπαθειών ελέγχονται από άνθρωπο ώστε να επαληθευτεί η εγκυρότητά τους – όπως συμβαίνει και με το Big Sleep.
Ο Βλαντ Ιονέσκου, συνιδρυτής και CTO της RunSybil, μιας startup που αναπτύσσει AI εντοπιστές σφαλμάτων, δήλωσε στο TechCrunch ότι το Big Sleep είναι «σοβαρό» project, καθώς έχει «καλό σχεδιασμό, ανθρώπους με γνώση, την εμπειρία του Project Zero στην εύρεση σφαλμάτων και την υπολογιστική δύναμη και τους πόρους του DeepMind».
Φυσικά, παρά την υπόσχεση που κρύβουν αυτά τα εργαλεία, υπάρχουν και σημαντικά μειονεκτήματα. Αρκετοί προγραμματιστές και υπεύθυνοι λογισμικού έχουν εκφράσει παράπονα για αναφορές σφαλμάτων που στην πραγματικότητα είναι ψευδαισθήσεις του AI, με κάποιους να τις χαρακτηρίζουν ως το ισοδύναμο της AI «σαβούρας» στον χώρο των bug bounty.
«Αυτό είναι το πρόβλημα που αντιμετωπίζουμε – παίρνουμε πολλές αναφορές που φαίνονται πολύτιμες, αλλά στην ουσία είναι άχρηστες», είχε δηλώσει παλαιότερα ο Ιονέσκου στο TechCrunch.
