谷歌AI漏洞探测工具一举发现20个重大安全漏洞

谷歌宣布其基于大语言模型（LLM）的AI漏洞探测工具“Big Sleep”首次成功发现并报告了20个安全漏洞。该工具由谷歌旗下DeepMind团队与精英安全团队Project Zero联合开发，是AI在网络安全领域迈出的重要一步。 谷歌安全副总裁海瑟·阿德金斯（Heather Adkins）周一宣布，Big Sleep已发现多个开源软件中的漏洞，主要集中在音频视频处理库FFmpeg和图像编辑工具ImageMagick等广泛使用的项目中。尽管这些漏洞尚未修复，谷歌暂未公布具体细节，以避免在修复前泄露信息，这符合行业标准。 谷歌发言人金伯利·萨玛（Kimberly Samra）表示，虽然每项漏洞的发现和复现均由AI独立完成，但最终报告前仍由人类专家审核，以确保报告质量与可操作性。谷歌工程副总裁罗伊尔·汉森（Royal Hansen）在X平台上称，这一成果标志着“自动化漏洞发现的新前沿”。 目前，AI驱动的漏洞探测工具已不止Big Sleep。如RunSybil和XBOW等项目也已进入实际应用。其中，XBOW曾在知名漏洞赏金平台HackerOne的美国排行榜上名列前茅。不过，多数AI漏洞报告仍需人类参与验证，以排除误报或“幻觉”问题。 RunSybil联合创始人兼CTO弗拉德·伊翁斯库（Vlad Ionescu）评价Big Sleep项目“可信且设计精良”，认为其背后有Project Zero的实战经验和DeepMind的强大算力支持。 尽管前景广阔，AI漏洞探测仍面临挑战。部分开源项目维护者反映，收到大量看似真实但实为AI误判的报告，被戏称为“AI垃圾”或“漏洞赏金界的垃圾信息”。伊翁斯库曾指出：“很多人看到的像是黄金，实则只是废料。”如何提升AI报告的准确性，仍是当前亟待解决的问题。