Google은 AI 기반 취약성 연구원 인 Big Sleep은 다양한 인기있는 오픈 소스 소프트웨어에서 20 개의 보안 결함을 확인하고보고했다고 발표했습니다. 이것은 Google의 AI Department Deepmind와 엘리트 해킹 팀 Project Zero가 개발 한 LLM 기반 도구에서 발견 한 최초의 취약점 배치를 나타냅니다.
Google의 보안 담당 부사장 인 Heather Adkins에 따르면 Big Sleep의 초기 연구 결과는 주로 오디오 및 비디오 라이브러리 FFMPEG 및 이미지 편집 스위트 Imagemagick을 포함한 오픈 소스 소프트웨어에있었습니다. 이러한 취약점의 영향과 심각성에 관한 구체적인 세부 사항은 현재 수정 대기 중이지만, 수정 대기 중이지만 Google은 실제 취약성 발견에서 AI 도구의 성장 능력을 나타내는 것으로 이러한 결과의 중요성을 강조합니다.
Google 대변인 인 Kimberly Samra는 프로세스를 명확히하여“고품질 및 실행 가능한 보고서를 보장하기 위해보고하기 전에 루프에 대한 인간 전문가가 있지만 AI 에이전트가 인간의 개입없이 발견하고 재현했습니다.” 이것은 Ai-youndified 결함의 정당성을 보장하기위한 인간 검증 단계를 강조합니다.
Google의 엔지니어링 담당 부사장 인 Royal Hansen은 X에서 Big Sleep의 업적을“자동화 된 취약성 발견의 새로운 개척자”를 시연하는 것으로 특징지었습니다. 취약성 탐지를위한 LLM 기반 도구의 출현은 증가하는 추세이며 Runsybil 및 Xbow를 포함한 다른 주목할만한 예입니다.
Xbow는 버그 바운티 플랫폼 Hackerone에서 미국 리더 보드를 토핑하는 데 주목했습니다. Big Sleep과 마찬가지로 이러한 AI 기반 버그 사냥꾼 중 다수는 인간 검증을 통합하여보고 된 취약점의 유효성을 확인합니다. Runsybil의 공동 창립자이자 CTO 인 Vlad Ionescu는“합법적 인”프로젝트로 큰 수면을 칭찬하여“좋은 디자인, 그 뒤에있는 사람들은 자신이하는 일을 알고, Project Zero는 버그를 찾는 경험을 가지고 있으며 Deepmind는 화력과 토큰을 던질 수 있습니다.”
엄청난 약속에도 불구 하고이 AI 도구는 도전에 도전합니다. 소프트웨어 관리자는 AI가 생성 한 “환각 된”버그 보고서의 증가에 대한 우려를 표명했으며, 일부는 버그 바운티 환경에서 “AI Slop”에 비유했습니다. Ionescu는 이전에“사람들이 겪고있는 문제입니다. 우리는 금처럼 보이는 많은 것들을 얻고 있지만 실제로는 단지 쓰레기입니다.” 이는 AI 중심의 취약성 발견의 초기 분야에서 인간의 감독에 대한 지속적인 필요성을 강조합니다.
