近期,谷歌安全领域的高层Heather Adkins公开透露,他们的人工智能漏洞探测系统Big Sleep,在多个广受欢迎的开源软件项目中,已经识别并上报了多达20个安全漏洞。这一成果引起了业界的广泛关注。
Big Sleep是由谷歌旗下的DeepMind人工智能实验室与精英黑客团队Project Zero联手打造的。此次发现的漏洞主要集中在音频视频处理工具FFmpeg以及图像处理软件ImageMagick等项目上。
尽管谷歌方面尚未公布这些漏洞的具体详情及其可能带来的风险,但在漏洞修复前保持信息的保密性,是行业内的一种惯常做法。然而,Big Sleep能够成功发现这些漏洞,已经充分展示了人工智能在安全检测领域的巨大潜力。
谷歌发言人金伯利・萨姆拉强调,为了确保漏洞报告的准确性和实用性,团队会在提交报告前引入人工专家进行审核。但她同时指出,Big Sleep在发现及重现漏洞的过程中,完全依靠自身的人工智能技术,无需人工直接参与。谷歌工程副总裁Royal Hansen也在社交平台X上发文称,这一发现标志着自动化漏洞检测领域取得了重大突破,证明了基于大型语言模型的工具,在识别和发现安全漏洞方面已经具备了相当的实力。
除了Big Sleep,谷歌还开发了其他多款AI漏洞探测工具,如RunSybil和XBOW等。其中,XBOW在漏洞赏金平台HackerOne上的表现尤为出色,受到了众多媒体的关注。然而,在漏洞报告的过程中,一些项目维护者反映,他们有时会收到一些并不真实的错误报告,甚至有人将其戏称为“漏洞赏金版的AI噪音”。面对这些质疑,RunSybil的联合创始人兼首席技术官Vlad Ionescu坚称,Big Sleep是一个值得信赖的项目,因为它背后有着经验丰富的Project Zero团队和强大的DeepMind团队作为支撑。
这一系列进展无疑彰显了人工智能在网络安全领域的巨大潜力。尽管在实际应用中还存在一些问题和挑战,但随着技术的不断进步和完善,相信AI将在未来发挥更加重要的作用。
