HyperAI
AccueilActualitésArticles de recherche récentsTutorielsEnsembles de donnéesWikiSOTAModèles LLMClassement GPUÉvénements
Recherche
À propos
HyperAI
Back to Headlines

Google lance Big Sleep : son IA découvre 20 vulnérabilités critiques dans des logiciels open source

il y a 3 jours

Google annonce que son outil d’identification de bogues alimenté par l’intelligence artificielle a détecté 20 vulnérabilités de sécurité. Heather Adkins, vice-présidente de la sécurité chez Google, a annoncé lundi que Big Sleep, l’agent d’analyse de vulnérabilités basé sur un modèle linguistique à grande échelle (LLM), avait identifié et signalé pour la première fois 20 failles dans divers logiciels open source populaires. Développé conjointement par DeepMind, le laboratoire d’IA de Google, et l’équipe d’experts en cybersécurité Project Zero, Big Sleep a notamment repéré des failles dans des projets comme FFmpeg, une bibliothèque open source pour le traitement audio et vidéo, et ImageMagick, un outil de manipulation d’images. Bien que ces vulnérabilités ne soient pas encore corrigées, Google a choisi de ne pas divulguer leurs détails techniques ou leur gravité — une pratique standard avant la mise à jour des logiciels concernés. Selon Kimberly Samra, porte-parole de Google, « pour garantir la qualité et l’actionnabilité des rapports, un expert humain est impliqué dans le processus de validation, mais chaque vulnérabilité a été découverte et reproduite par l’IA sans intervention humaine ». Cette précision souligne que, bien que l’humain joue un rôle de contrôle, l’IA a accompli l’essentiel du travail de recherche. Royal Hansen, vice-président de l’ingénierie chez Google, a qualifié ces résultats de « nouvelle frontière dans la découverte automatisée des vulnérabilités » dans un message publié sur X (anciennement Twitter). Big Sleep n’est pas le seul outil de ce type à émerger. D’autres projets, comme RunSybil et XBOW, montrent également des performances prometteuses. XBOW, en particulier, a récemment atteint le sommet d’un classement américain sur HackerOne, une plateforme de récompenses pour la découverte de bogues. Toutefois, dans la majorité des cas, un humain reste nécessaire pour vérifier que les signalements sont réels, évitant ainsi les faux positifs. Vlad Ionescu, cofondateur et directeur technique de RunSybil, a salué Big Sleep comme un projet « sérieux », soulignant la qualité de sa conception, l’expertise de Project Zero et la puissance de calcul disponible via DeepMind. Malgré ces avancées, les outils d’IA dans ce domaine posent des défis. Plusieurs développeurs de logiciels open source ont dénoncé des rapports de bogues basés sur des hallucinations — des faux positifs qui ressemblent à des vulnérabilités réelles mais n’en sont pas. « On reçoit beaucoup de choses qui semblent être de l’or, mais qui sont en réalité du rebut », a déclaré Ionescu à TechCrunch, évoquant ainsi le risque de « déchets d’IA » dans le domaine des bounties de sécurité.

Related Links

Google says its AI-based bug hunter found 20 security vulnerabilities
TechCrunch