近期,谷歌安全領域的高層Heather Adkins公開透露,他們的人工智能漏洞探測系統Big Sleep,在多個廣受歡迎的開源軟件項目中,已經識別并上報了多達20個安全漏洞。這一成果引起了業界的廣泛關注。
Big Sleep是由谷歌旗下的DeepMind人工智能實驗室與精英黑客團隊Project Zero聯手打造的。此次發現的漏洞主要集中在音頻視頻處理工具FFmpeg以及圖像處理軟件ImageMagick等項目上。
盡管谷歌方面尚未公布這些漏洞的具體詳情及其可能帶來的風險,但在漏洞修復前保持信息的保密性,是行業內的一種慣常做法。然而,Big Sleep能夠成功發現這些漏洞,已經充分展示了人工智能在安全檢測領域的巨大潛力。
谷歌發言人金伯利?薩姆拉強調,為了確保漏洞報告的準確性和實用性,團隊會在提交報告前引入人工專家進行審核。但她同時指出,Big Sleep在發現及重現漏洞的過程中,完全依靠自身的人工智能技術,無需人工直接參與。谷歌工程副總裁Royal Hansen也在社交平臺X上發文稱,這一發現標志著自動化漏洞檢測領域取得了重大突破,證明了基于大型語言模型的工具,在識別和發現安全漏洞方面已經具備了相當的實力。
除了Big Sleep,谷歌還開發了其他多款AI漏洞探測工具,如RunSybil和XBOW等。其中,XBOW在漏洞賞金平臺HackerOne上的表現尤為出色,受到了眾多媒體的關注。然而,在漏洞報告的過程中,一些項目維護者反映,他們有時會收到一些并不真實的錯誤報告,甚至有人將其戲稱為“漏洞賞金版的AI噪音”。面對這些質疑,RunSybil的聯合創始人兼首席技術官Vlad Ionescu堅稱,Big Sleep是一個值得信賴的項目,因為它背后有著經驗豐富的Project Zero團隊和強大的DeepMind團隊作為支撐。
這一系列進展無疑彰顯了人工智能在網絡安全領域的巨大潛力。盡管在實際應用中還存在一些問題和挑戰,但隨著技術的不斷進步和完善,相信AI將在未來發揮更加重要的作用。
