menu-icon
anue logo
馬來西亞房產鉅亨號鉅亨買幣
search icon


美股

Google AI驅動漏洞獵人系統大突破!首度通報20起漏洞、展現LLM資安實力

鉅亨網編譯莊閔棻


Google (GOOGL-US) 最新 AI 驅動的漏洞獵人系統 Big Sleep,已成功偵測並回報其首批安全漏洞,突顯了人工智慧(AI) 尤其是大型語言模型(LLM)在資安應用上的新進展。Big Sleep 由 Google 資安菁英團隊 Project Zero 與旗下 AI 實驗室 DeepMind 聯手開發。

cover image of news article
Google AI驅動漏洞獵人系統大突破!首度通報20起漏洞、展現LLM資安實力。(圖:Shutterstock)

Google 資安副總裁 Heather Adkins 表示,Big Sleep 已偵測到 20 個存在於熱門開源軟體中的漏洞,涵蓋領域包括多媒體處理函式庫 FFmpeg 與圖像處理工具 ImageMagick。


值得注意的是,這些漏洞是由 AI 系統 Big Sleep 獨立發現與重現的,但基於這些漏洞尚未修復,Google 尚未公開這些漏洞的具體細節。

Google 發言人 Kimberly Samra 強調:「為了確保報告的高品質和可操作性,我們在報告之前會安排人類專家參與,但每個漏洞都是由 AI 代理發現的,無需人工干預。

Google 工程副總裁 Royal Hansen 也透過 X 發文指出,這些發現表明「自動化漏洞發現領域已開闢了新領域」。

除了 Big Sleep,目前市場上亦有其他 AI 漏洞獵人工具,包括 RunSybil 和 XBOW,其中 XBOW 更曾登上知名漏洞懸賞平台 HackerOne 排行榜。

不過,在大多數情況下,這些報告在流程的某個階段都會有人工參與,以驗證 AI 漏洞獵人發現的漏洞是否正確,Big Sleep 的情況也是如此。

RunSybil 共同創辦人 Vlad Ionescu 對 Big Sleep 表達高度肯定,認為這是一個「真正有潛力的專案」,且 DeepMind 與 Project Zero 擁有資源與專業技術。

儘管 AI 漏洞獵人如 Big Sleep 展現出驚人成效,仍有不少業界人士對其準確性抱持懷疑。開源軟體維護者指出,部分來自 AI 的漏洞回報其實為「幻覺」,並將其稱為「漏洞懸賞界的 AI 垃圾」。

Ionescu 受訪時坦言:「這正是問題所在。我們收到的很多東西看起來像黃金,但其實都是垃圾。」



Empty