Google Big Sleep 發現 20 個流行開源軟體漏洞,掀起「AI 自動化抓漏工具」熱
今年 6 月,自主式抓漏工具 XBOW 登上美國漏洞懸賞平台 HackerOne 排行榜榜首而成為新聞焦點。緊接著,Google 在週一(8/4)宣布,旗下大型語言模型漏洞研究工具「Big Sleep」,首次發現並通報了 20 個存在於各種熱門開放原始碼軟體中的漏洞。業界因而掀起以 LLM-based 漏洞獵人(bug hunter)工具來挖掘軟體漏洞的熱潮。
Big Sleep 是由 Google DeepMind 與旗下精英駭客團隊 Project Zero 共同開發的 LLM-based 漏洞研究工具。Google 資安副總裁 Heather Adkins 在 X 上表示,這次發現的漏洞大多存在於開放原始碼軟體,例如影音多媒體處理函式庫 FFmpeg,以及影像編輯工具套件 ImageMagick。
由於這些漏洞尚未修補,Google 暫不公開相關影響或嚴重程度的細節。不論如何,單就 Big Sleep 能夠發現這些漏洞這一事實而言,勢必會對今後漏洞修補乃至滲透測試產生重大影響與意義,同時也顯示出這類工具已開始取得實質成果。
對此,Google 工程部副總裁 Royal Hansen 在 X 上表示,這代表了「自動化漏洞挖掘的一個新領域」。目前業界除了 XBOW 與 Big Sleep 外,還有 RunSybil,顯見能尋找並發現安全漏洞的 LLM-based 抓漏工具已成為現實。
雖然,Big Sleep 背後有具備豐富漏洞挖掘經驗的 Project Zero,以及擁有充足 AI 及運算資源的 DeepMind 的大力支援,所以更具後續看漲之勢。但這類工具仍存在不少問題,已經有一些維護不同軟體專案的人抱怨,許多 AI 漏洞通報其實只是充滿幻覺(hallucination)的造假報告,甚至有人直斥其為 AI 垃圾(AI Slop)。
看樣子生成式 AI 的幻覺問題,也不意外的在 AI 自動化抓漏工具上出現。到底企業漏洞管理人員收到的 AI 通報資訊是金子還是垃圾,仍有待自動化抓漏工具商的加強與改善。
(首圖來源:shutterstock)