Google объявил о первых результатах работы своего экспериментального ИИ-инструмента для поиска уязвимостей — Big Sleep. Система, разработанная совместно DeepMind и элитной командой безопасности Project Zero, уже обнаружила и сообщила о 20 уязвимостях в популярных проектах с открытым исходным кодом.
Об этом в понедельник сообщила Хизер Адкинс, вице-президент Google по информационной безопасности. Среди затронутых систем — широко используемые библиотеки, такие как FFmpeg (аудио- и видеообработка) и ImageMagick (редактирование изображений). Эти проекты интегрированы в тысячи приложений и сервисов, что делает обнаруженные уязвимости потенциально важными для глобальной кибербезопасности.
Как работает Big Sleep?
Big Sleep — это ИИ-агент, обученный на больших объёмах кода и исторических данных об уязвимостях. Он способен самостоятельно анализировать исходный код, выявлять подозрительные шаблоны и воспроизводить потенциальные эксплойты — без вмешательства человека.
«Каждая из этих уязвимостей была найдена и воспроизведена ИИ-агентом автономно, — пояснила Кимберли Самра, представитель Google. — Для обеспечения качества и точности отчётов мы привлекаем эксперта-человека, но сам процесс обнаружения полностью автоматизирован».
Роял Хансен, вице-президент Google по разработке, назвал результаты «новым рубежом в автоматизированном обнаружении уязвимостей» в своём посте на платформе X.
Почему это важно?
До сих пор ИИ-инструменты в сфере безопасности часто критиковали за «галлюцинации» — ложные срабатывания, когда система «находит» уязвимость, которой на самом деле нет. Однако случай с Big Sleep отличается: он основан на глубоком опыте Project Zero (одной из самых уважаемых команд white-hat хакеров) и вычислительной мощи DeepMind.
Влад Ионеску, соучредитель и CTO стартапа RunSybil, разрабатывающего аналогичные ИИ-охотники, назвал Big Sleep «законным прорывом»:
«Проект хорошо спроектирован, за ним стоят люди, которые действительно понимают поиск уязвимостей. У Project Zero — многолетний опыт, а у DeepMind — ресурсы и токены, чтобы бросить в это всё».
Другие игроки на рынке
Big Sleep — не единственный ИИ-охотник. Другие известные системы включают:
- RunSybil — стартап, специализирующийся на автоматизированном поиске багов.
- XBOW — ИИ-агент, который недавно возглавил таблицу лидеров на платформе HackerOne, опередив многих человеческих исследователей.
Однако во всех этих системах на каком-то этапе участвует человек — для проверки, действительно ли найденная уязвимость реальна.
Проблемы и скептицизм
Несмотря на успехи, автоматизированный поиск уязвимостей сталкивается с критикой. Разработчики некоторых open-source проектов жалуются на поток ложных отчётов, которые отнимают время и ресурсы. Некоторые называют такие сообщения «мусором ИИ» или «AI spam».
«Мы видели случаи, когда ИИ генерирует сотни отчётов, в которых описывается несуществующая уязвимость, — отметил один из мейнтейнеров FFmpeg. — Это создаёт дополнительную нагрузку, особенно для небольших команд».
Что дальше?
Google пока не раскрывает детали уязвимостей — в соответствии с политикой responsible disclosure, компания ожидает, пока разработчики ПО выпустят исправления, прежде чем публиковать технические данные. Это стандартная практика, направленная на защиту пользователей.
Тем не менее, сам факт, что ИИ-агент смог найти реальные, подтверждённые уязвимости в сложных проектах, знаменует важный этап в эволюции кибербезопасности.
«Мы больше не в будущем. Мы в эпохе, когда ИИ не просто помогает хакерам — он сам становится одним из них. Только на стороне добра», — резюмировал один из экспертов TechCrunch.
Автоматизация поиска уязвимостей может кардинально изменить рынок безопасности: ускорить обнаружение брешей, снизить затраты и усилить защиту критической инфраструктуры. Но вместе с тем она требует новых стандартов валидации и этических норм — чтобы «охота за багами» не превратилась в цифровой хаос.
Больше интересного – на медиапортале https://www.cta.ru/