„Google“ AI varomas „Bug Hunter“ ką tik pranešė apie savo pirmąją saugumo pažeidžiamumų partiją.
Heather Adkins, „Google“ saugumo viceprezidentė, pirmadienį paskelbė, kad jos LLM pagrįstas pažeidžiamumo tyrinėtojas „Big Sleep“ rado ir pranešė apie 20 trūkumų įvairiose populiariose atvirojo kodo programinės įrangos trūkumuose.
„Adkins“ teigė, kad „Big Sleep“, kurį sukuria bendrovės AI departamento „Deepmind“, taip pat jos elitinė įsilaužėlių „Project Zero“ komanda, pranešė apie savo pirmąjį pažeidžiamumą, daugiausia atvirojo kodo programinėje įrangoje, tokioje kaip garso ir vaizdo bibliotekos FFMPEG ir vaizdų redagavimo „Suite ImageMagick“.
Atsižvelgiant į tai, kad pažeidžiamumai dar nėra ištaisyti, mes neturime informacijos apie jų poveikį ar sunkumą, nes „Google“ dar nenori pateikti informacijos, o tai yra standartinė politika, kai laukiama, kad klaidos bus ištaisytos. Tačiau paprastas faktas, kad didelis miegas nustatė, kad šie pažeidžiamumai yra reikšmingi, nes tai rodo, kad šie įrankiai pradeda gauti realius rezultatus, net jei šioje byloje buvo tas žmogus.
„Siekdami užtikrinti aukštos kokybės ir veiksmingus pranešimus, prieš pranešdami turime žmonių ekspertą, tačiau AI agentas be žmogaus įsikišimo buvo rastas ir atkurtas kiekvieną pažeidžiamumą“, – „TechCrunch“ pasakojo „Google“ atstovas Kimberly Samra.
„Royal Hansen“, „Google“ inžinerijos viceprezidentas, rašė X, kad išvados parodo „naują automatinio pažeidžiamumo atradimo sieną“.
LLM varomi įrankiai, galintys ieškoti ir rasti pažeidžiamumą, jau yra realybė. Išskyrus didelį miegą, be kita ko, yra „Runsybil“ ir „Xbow“.
„TechCrunch“ renginys
San Franciskas
|
2025 m. Spalio 27–29 d
„Xbow“ surinko antraštes po to, kai pasiekė vieno iš JAV lyderių lentelių viršūnę „Bug Bounty Platform Hackerone“. Svarbu pažymėti, kad daugeliu atvejų šiose ataskaitose yra žmogus tam tikru proceso momentu, siekiant patikrinti, ar AI varomas klaidų medžiotojas rado teisėtą pažeidžiamumą, kaip tai daroma dideliam miegui.
Vlad Ionescu, „Runsybil“ įkūrėjas ir vyriausiasis technologijų pareigūnas, pradedantysis startuolis, kuriantis AI varomus klaidų medžiotojus, „TechCrunch“ sakė, kad „Big Sleep“ yra „teisėtas“ projektas, atsižvelgiant į tai, kad jis turi „gerą dizainą, už tai žino, ką jie daro.
Akivaizdu, kad šiais įrankiais yra daug pažadų, bet ir reikšmingų trūkumų. Keletas žmonių, kurie prižiūri skirtingus programinės įrangos projektus, skundėsi pranešimais apie klaidas, kurios iš tikrųjų yra haliucinacijos, kai kurie juos vadino „AI SLOM“ klaidų palaimos atitikmeniu.
„Tai yra problema, į kurią žmonės susiduria, ar mes gauname daug dalykų, kurie atrodo kaip auksas, tačiau tai iš tikrųjų yra tik šūdas“, – anksčiau „TechCrunch“ sakė „Ionescu“.
Nuoroda į informacijos šaltinį