Big Sleep 首次识别出 20 个安全问题,Google 宣布其 AI 漏洞发现工具的成就
发布时间:2025-08-05 10:02:54 | 责任编辑:吴昊 | 浏览量:6 次
近日,Google 安全副总裁 Heather Adkins 在一场活动中宣布,其由人工智能驱动的漏洞研究员 Big Sleep 已在多款流行的开源软件中发现并报告了20个安全漏洞。
这些漏洞主要出现在音频和视频处理库 FFmpeg 以及图像处理软件 ImageMagick 等项目中。Big Sleep 是由 Google 的人工智能部门 DeepMind 与其顶尖黑客团队 Project Zero 共同开发的。
尽管这些漏洞尚未修复,Google 方面目前没有对漏洞的具体影响或严重性提供详细信息,这种保密性在等待修复过程中是常见的做法。不过,Big Sleep 发现漏洞的事实本身具有重要意义,这标志着基于 AI 的安全检测工具开始显现出实际效果。
Google 发言人金伯利・萨姆拉表示,为了确保漏洞报告的质量和可操作性,团队会在报告发布前引入人类专家进行审查,但每一个漏洞的发现和重现都是由人工智能自主完成的,无需人工干预。Google 工程副总裁 Royal Hansen 在社交平台 X 上指出,这一发现标志着 “自动化漏洞发现领域的崭新进展”,这表明基于大型语言模型(LLM)的工具已经能够有效识别和发现安全漏洞。
除了 Big Sleep,Google 还开发了其他 AI 漏洞猎手,如 RunSybil 和 XBOW 等。XBOW 在漏洞赏金平台 HackerOne 上表现优异,受到了媒体的广泛关注。然而,在报告漏洞的过程中,许多项目维护者曾表示,有时他们接收到的错误报告并不真实,甚至将其称为 “漏洞赏金计划版的人工智能垃圾”。尽管存在这些问题,RunSybil 的联合创始人兼首席技术官 Vlad Ionescu 强调 Big Sleep 是一个 “合法” 的项目,因其背后有经验丰富的 Project Zero 和强大的 DeepMind 团队支持。
总的来看,这一进展展示了 AI 在网络安全领域的潜力,虽然也暴露了一些不足之处,未来仍需不断完善与改进。
划重点:
🌐 Big Sleep 成功发现20个安全漏洞,主要存在于 FFmpeg 和 ImageMagick 等开源软件中。
🔍 AI 工具在漏洞发现领域取得新进展,显示其实际应用潜力。
👥 人工审查确保报告质量,AI 仍需人类专家的参与与验证。
Google 宣布,其 AI 漏洞猎手 Big Sleep(由 Google Project Zero 和 Google DeepMind 合作开发)首次成功发现并报告了 20 起开源软件漏洞,涉及 FFmpeg、图像处理工具等广泛使用的开源项目。此前,Big Sleep 已发现 SQLite 中的高危漏洞(CVE-2025-6965),并成功阻止了威胁行为者利用该漏洞的企图,这被认为是 AI 代理首次直接挫败现实世界中的漏洞利用行为。
Big Sleep 项目基于大型语言模型(LLM),致力于发现软件中未知的安全漏洞,其工作流程模拟人类漏洞研究过程,能够识别传统模糊测试(fuzzing)难以发现的漏洞。谷歌表示,Big Sleep 已广泛用于开源项目安全维护,显著提高了漏洞响应效率,并展现了 AI 在安全防护与漏洞扫描上的巨大潜力。
本网站(https://aigc.izzi.cn)刊载的所有内容,包括文字、图片、音频、视频等均在网上搜集。
访问者可将本网站提供的内容或服务用于个人学习、研究或欣赏,以及其他非商业性或非盈利性用途,但同时应遵守著作权法及其他相关法律的规定,不得侵犯本网站及相关权利人的合法权利。除此以外,将本网站任何内容或服务用于其他用途时,须征得本网站及相关权利人的书面许可,并支付报酬。
本网站内容原作者如不愿意在本网站刊登内容,请及时通知本站,予以删除。