Google AI驅動漏洞獵人系統大突破！首度通報20起漏洞、展現LLM資安實力

Google (GOOGL-US) 最新 AI 驅動的漏洞獵人系統 Big Sleep，已成功偵測並回報其首批安全漏洞，突顯了人工智慧（AI） 尤其是大型語言模型（LLM）在資安應用上的新進展。Big Sleep 由 Google 資安菁英團隊 Project Zero 與旗下 AI 實驗室 DeepMind 聯手開發。

Google 資安副總裁 Heather Adkins 表示，Big Sleep 已偵測到 20 個存在於熱門開源軟體中的漏洞，涵蓋領域包括多媒體處理函式庫 FFmpeg 與圖像處理工具 ImageMagick。

值得注意的是，這些漏洞是由 AI 系統 Big Sleep 獨立發現與重現的，但基於這些漏洞尚未修復，Google 尚未公開這些漏洞的具體細節。

Google 發言人 Kimberly Samra 強調：「為了確保報告的高品質和可操作性，我們在報告之前會安排人類專家參與，但每個漏洞都是由 AI 代理發現的，無需人工干預。」

Google 工程副總裁 Royal Hansen 也透過 X 發文指出，這些發現表明「自動化漏洞發現領域已開闢了新領域」。

除了 Big Sleep，目前市場上亦有其他 AI 漏洞獵人工具，包括 RunSybil 和 XBOW，其中 XBOW 更曾登上知名漏洞懸賞平台 HackerOne 排行榜。

不過，在大多數情況下，這些報告在流程的某個階段都會有人工參與，以驗證 AI 漏洞獵人發現的漏洞是否正確，Big Sleep 的情況也是如此。

RunSybil 共同創辦人 Vlad Ionescu 對 Big Sleep 表達高度肯定，認為這是一個「真正有潛力的專案」，且 DeepMind 與 Project Zero 擁有資源與專業技術。

儘管 AI 漏洞獵人如 Big Sleep 展現出驚人成效，仍有不少業界人士對其準確性抱持懷疑。開源軟體維護者指出，部分來自 AI 的漏洞回報其實為「幻覺」，並將其稱為「漏洞懸賞界的 AI 垃圾」。

Ionescu 受訪時坦言：「這正是問題所在。我們收到的很多東西看起來像黃金，但其實都是垃圾。」