Google新AI漏洞獵人上線！無人干預下可找出20個資安弱點

記者孫敬／編譯

Google安全副總裁Heather Adkins於4日宣布，Google旗下由大型語言模型（LLM）驅動的AI漏洞獵人「Big Sleep」，已成功發現並通報了20個資安漏洞，主要集中在常見的開源軟體，例如多媒體處理函式庫FFmpeg，以及圖像處理工具ImageMagick。

延伸閱讀：香奈兒證實客戶個資外洩 駭客組織利用「語音釣魚」攻陷Salesforce系統

DeepMind與Project Zero強強聯手，AI自動化抓蟲

Big Sleep是由Google的AI部門DeepMind與其頂尖駭客團隊Project Zero聯手開發，由於這些被通報的漏洞尚未修復，Google基於標準政策，暫時未公開詳細資訊和影響範圍。

Google發言人Kimberly Samra向媒體透露，雖然每個漏洞在通報前都經過真人專家的檢核，但「每個漏洞都是由AI代理發現的，沒有任何人為干預。」Google工程副總裁Royal Hansen也在社群平台X上發文，稱這項成果展示了「自動化漏洞發現的新領域」。

除了Google的Big Sleep，目前市場上還有多款LLM驅動的漏洞發現工具，像是RunSybil和XBOW，後者曾登上知名漏洞懸賞平台HackerOne排行榜。雖然很便利，不過這些AI工具的共同點是，最終仍需要人類專家的介入，驗證AI所發現的漏洞是否為真。

AI抓蟲是雙面刃，業界擔憂「幻覺」報告

儘管AI抓蟲工具展現巨大潛力，但也伴隨著顯著的弊端。一些開源軟體專案的維護者抱怨，他們收到了許多來自AI工具的漏洞報告，但這些報告實際上是「幻覺」（hallucinations），根本不是真實的漏洞。有人甚至將其戲稱為漏洞懸賞版的「AI廢文」（AI slop）。

「我們得到了很多看似寶貴的資料，但事實上，它們只是垃圾。」RunSybil的共同創辦人兼技術長Vlad Ionescu點出當今AI工具的問題，但仍認為Big Sleep是一個有潛力的專案，因為它有優秀的設計、專業的團隊，以及DeepMind的強大運算能力作為後盾。

資料來源：TechCrunch