Η Google ανακοίνωσε ότι ο ανιχνευτής σφαλμάτων τεχνητής νοημοσύνης Big Sleep εντόπισε 20 νέα τρωτά σημεία ασφαλείας σε γνωστά λογισμικά ανοικτού κώδικα, σηματοδοτώντας ένα σημαντικό βήμα στην αξιοποίηση μεγάλων γλωσσικών μοντέλων (LLMs) στον τομέα της κυβερνοασφάλειας. Η Χέδερ Άντκινς, αντιπρόεδρος ασφαλείας της εταιρείας, αποκάλυψε πως το Big Sleep αναπτύχθηκε από την DeepMind σε συνεργασία με την περίφημη ομάδα white-hat χάκερ Project Zero, έχοντας ήδη εντοπίσει ευπάθειες σε λογισμικά όπως το FFmpeg και το ImageMagick.
Παρότι δεν έχουν ακόμη δοθεί λεπτομέρειες για τη σοβαρότητα των ευρημάτων, λόγω της συνήθους πολιτικής αποφυγής δημοσιοποίησης στοιχείων πριν την επίσημη επιδιόρθωση, η ανακοίνωση της Google θεωρείται ιδιαίτερης σημασίας. Για πρώτη φορά, ένα AI σύστημα αυτού του είδους καταφέρνει να αναγνωρίσει και να αναπαράγει προβλήματα χωρίς την παραμικρή ανθρώπινη παρέμβαση στον εντοπισμό. Όπως διευκρίνισε η εκπρόσωπος της εταιρείας Κίμπερλι Σάμρα, παρόλο που η τελική αξιολόγηση των αναφορών περνάει από ανθρώπινα χέρια για λόγους ποιότητας και ακρίβειας, ο εντοπισμός των προβλημάτων βασίστηκε αποκλειστικά στη λειτουργία του Big Sleep.
Ο αντιπρόεδρος μηχανικής της Google, Ρόιαλ Χάνσεν, σχολίασε στην πλατφόρμα X ότι η πρόοδος αυτή σηματοδοτεί ένα «νέο σύνορο» στον αυτοματοποιημένο εντοπισμό ευπαθειών. Πράγματι, το πεδίο αυτό εξελίσσεται ραγδαία, με νέα εργαλεία τεχνητής νοημοσύνης όπως το RunSybil και το XBOW να κερδίζουν έδαφος και αξιοπιστία. Το XBOW, μάλιστα, έχει ήδη διακριθεί στις λίστες της HackerOne, μιας από τις σημαντικότερες πλατφόρμες bug bounty παγκοσμίως.
Ο Βλαντ Ιονέσκου, συνιδρυτής και CTO της RunSybil, χαρακτήρισε το Big Sleep ως ένα ιδιαίτερα σοβαρό και ώριμο project, τονίζοντας την τεχνική του αρτιότητα και τη συνδυαστική δύναμη της DeepMind, της Google και της Project Zero. Όπως ανέφερε, η αξιοπιστία του βασίζεται όχι μόνο στους αλγόριθμους αλλά και στους ανθρώπους που σχεδίασαν και επέβλεψαν τη λειτουργία του.
Η ενθουσιώδης όμως υποδοχή των δυνατοτήτων αυτών των AI εργαλείων δεν συνοδεύεται από καθολική αποδοχή. Αρκετοί προγραμματιστές και επαγγελματίες του χώρου ασφαλείας εκφράζουν σκεπτικισμό, τονίζοντας ότι πολλές φορές οι αναφορές που παράγονται από LLMs αποδεικνύονται ψευδείς – αποτέλεσμα δηλαδή των λεγόμενων «παραισθήσεων» του AI. Ο ίδιος ο Ιονέσκου έχει κατά το παρελθόν δηλώσει πως, συχνά, το φορτίο από φαινομενικά πολύτιμες αλλά επί της ουσίας άχρηστες αναφορές δυσκολεύει το έργο των ειδικών, με αρκετούς να παρομοιάζουν τέτοιες περιπτώσεις ως την «σαβούρα» του κόσμου του bug bounty.
