近日,Google 安全副总裁 Heather Adkins 在一场重要活动中正式宣布,其尖端人工智能驱动的漏洞研究员 Big Sleep 已成功在多款广受欢迎的开源软件中识别并报告了20个关键安全漏洞。这些漏洞主要集中在音频和视频处理的核心库 FFmpeg 以及图像处理软件 ImageMagick 等关键项目中,对软件生态安全构成潜在威胁。
Big Sleep 是由 Google 的人工智能巨头 DeepMind 与其享誉全球的顶尖黑客团队 Project Zero 联合研发的突破性项目。尽管这些漏洞目前尚未得到修复,Google 方面出于安全考虑,尚未披露漏洞的具体影响程度或严重性评估。然而,Big Sleep 发现漏洞这一事实本身就具有里程碑意义,它清晰地表明基于人工智能的安全检测工具已开始展现出强大的实际应用价值。
Google 发言人金伯利・萨姆拉特别强调,为了确保漏洞报告的准确性和可操作性,团队会在正式发布前引入资深人类专家进行严格审查。但值得注意的是,每一个漏洞的发现过程和复现步骤均由人工智能自主完成,无需人工干预,充分体现了 AI 在自动化安全研究领域的领先能力。
Google 工程副总裁 Royal Hansen 在社交平台 X 上发表评论指出,这一重大发现标志着 “自动化漏洞发现领域的崭新突破”,有力证明基于大型语言模型(LLM)的工具已具备高效识别和发现安全漏洞的强大能力。除了 Big Sleep,Google 还持续研发了其他 AI 漏洞猎手,包括在漏洞赏金平台 HackerOne 上表现卓越的 RunSybil 和 XBOW 等,后者更是获得了媒体的高度关注。
然而在漏洞报告实践中,部分项目维护者曾反映,有时他们会收到大量不实或错误的漏洞报告,甚至戏称其为 “漏洞赏金计划版的人工智能垃圾”。尽管存在这些挑战,RunSybil 的联合创始人兼首席技术官 Vlad Ionescu 坚定认为 Big Sleep 是一个 “完全合法且严谨” 的项目,其背后拥有经验丰富的 Project Zero 团队和强大的 DeepMind 技术支撑。
总体而言,这一系列进展充分展示了人工智能在网络安全领域的巨大潜力,同时也揭示了当前技术仍存在的不足之处。未来,随着技术的不断完善与改进,人工智能将在网络安全防护中扮演越来越重要的角色。
划重点:
? Big Sleep 成功发现20个安全漏洞,主要存在于 FFmpeg 和 ImageMagick 等开源软件中
? AI 工具在漏洞发现领域取得重大突破,彰显实际应用潜力
? 人工审查机制确保报告质量,AI 仍需人类专家的参与与验证