Google đã công bố công cụ săn lỗi dựa trên trí tuệ nhân tạo Big Sleep đã tìm thấy và báo cáo 20 lỗ hổng bảo mật đầu tiên trong các phần mềm mã nguồn mở phổ biến, đánh dấu bước tiến quan trọng trong việc tự động hóa phát hiện lỗ hổng bảo mật.
Heather Adkins, phó chủ tịch bảo mật của Google, thông báo vào thứ Hai rằng Big Sleep – được phát triển bởi bộ phận AI DeepMind và nhóm hacker tinh nhuệ Project Zero – đã báo cáo những lỗ hổng đầu tiên, chủ yếu trong phần mềm mã nguồn mở như thư viện âm thanh và video FFmpeg cùng bộ chỉnh sửa ảnh ImageMagick.
Do các lỗ hổng này chưa được khắc phục, Google chưa cung cấp chi tiết về mức độ nghiêm trọng hoặc tác động của chúng, tuân theo chính sách tiêu chuẩn khi chờ đợi các lỗi được sửa chữa. Tuy nhiên, việc Big Sleep tìm thấy các lỗ hổng này có ý nghĩa quan trọng, cho thấy các công cụ AI đang bắt đầu mang lại kết quả thực tế.
“Để đảm bảo chất lượng cao và báo cáo khả thi, chúng tôi có chuyên gia con người tham gia trước khi báo cáo, nhưng mỗi lỗ hổng đều được AI phát hiện và tái tạo mà không cần can thiệp của con người,” người phát ngôn Google Kimberly Samra cho biết.
Royal Hansen, phó chủ tịch kỹ thuật của Google, viết trên X rằng những phát hiện này thể hiện “biên giới mới trong việc tự động phát hiện lỗ hổng”.
Các công cụ dựa trên mô hình ngôn ngữ lớn có thể tìm kiếm và phát hiện lỗ hổng đã trở thành hiện thực. Ngoài Big Sleep, còn có RunSybil và XBOW, trong số các công cụ khác.
XBOW đã gây chú ý sau khi đạt vị trí đầu trên một trong những bảng xếp hạng của Mỹ tại nền tảng bug bounty HackerOne. Điều quan trọng cần lưu ý là trong hầu hết các trường hợp, những báo cáo này đều có con người tham gia ở một số điểm trong quy trình để xác minh rằng công cụ săn lỗi dựa trên AI đã tìm thấy lỗ hổng hợp lệ, như trường hợp của Big Sleep.
Vlad Ionescu, đồng sáng lập và giám đốc công nghệ tại RunSybil – startup phát triển công cụ săn lỗi dựa trên AI – cho biết Big Sleep là một dự án “chính đáng”, với “thiết kế tốt, những người đằng sau biết họ đang làm gì, Project Zero có kinh nghiệm tìm lỗi và DeepMind có sức mạnh và token để đầu tư vào đó”.
Rõ ràng có rất nhiều tiềm năng với các công cụ này, nhưng cũng có những nhược điểm đáng kể. Một số người duy trì các dự án phần mềm khác nhau đã phàn nàn về các báo cáo lỗi thực chất là ảo giác, với một số gọi chúng là tương đương bug bounty của AI slop.