Hunter Bug Bug, Big Sleep, opracowany przez DeepMind i Project Zero, zidentyfikował 20 luk w zakresie bezpieczeństwa w oprogramowaniu typu open source, oznaczając początkowe publiczne raportowanie wad.
Dzisiaj w ramach naszego zaangażowania w przejrzystość w tej przestrzeni z dumą ogłaszamy, że zgłosiliśmy pierwsze 20 osób odkrytych "Wielki sen" System zasilany przez Gemini – https://t.co/0sgplazqaq
– Heather Adkins – ꜻ – SPES Consilium non EST (@Argvee) 4 sierpnia 2025 r
Heather Adkins, wiceprezes ds. Bezpieczeństwa Google, ujawniła w poniedziałek, że Big Sleep, badacz podatności na LLM, wykrył te wady w różnych popularnych aplikacjach typu open source. Zidentyfikowane podatności na zagrożenia wpływają głównie na systemy, takie jak FFMPEG, biblioteka audio i wideo oraz ImageMagick, pakiet edycji obrazu. Szczegóły dotyczące konkretnego wpływu lub nasilenia tych luk w zabezpieczeniach nie zostały opublikowane ze względu na standardowy protokół wstrzymania informacji o wstrzymaniu do czasu wdrożenia poprawek.
Kimberly Samra, rzecznik Google, wyjaśniła proces związany z tymi odkryciami. Samra stwierdził: „Aby zapewnić raporty wysokiej jakości i możliwe do przyjęcia, przed zgłoszeniem mamy eksperta w pętli, ale każda podatność została znaleziona i odtworzona przez agenta AI bez interwencji człowieka”. Ta procedura potwierdza, że podczas gdy występuje weryfikacja ludzka, początkowe wykrywanie i reprodukcja podatności na zagrożenia jest wykonywane autonomicznie przez czynnik AI.
Royal Hansen, wiceprezes ds. Inżynierii Google, scharakteryzował te odkrycia jako wykazanie „nowej granicy w automatycznym odkryciu podatności” w poście na temat X. Big Sleep to jedyne narzędzie zasilane przez LLM zaprojektowane do wykrywania podatności; Inne godne uwagi przykłady to Runsybil i Xbow.
Xbow zyskał uwagę za osiągnięcie najwyższej pozycji na tablicy liderów w USA w hakeronie hackerone platformy Bug Bounty. Podobnie jak wielki sen, wielu z tych łowców robaków napędzanych AI zawiera krok weryfikacji człowieka, aby potwierdzić legitymację wykrytych luk. Vlad Ionescu, współzałożyciel i dyrektor ds. Technologii w Runsybil, startup specjalizujący się w łowcach błędów napędzanych AI, opisał Big Sleep jako „legalny” projekt. Tę ocenę przypisał jej „dobrym designie, ludzie za nią wiedzą, co robią, Project Zero ma doświadczenie w znalezieniu błędów, a Deepmind ma siłę ognia i tokeny do rzucenia na nią”.
Chociaż potencjał tych narzędzi AI do identyfikacji wad bezpieczeństwa jest widoczny, odnotowano również wady. Kilku opiekunów różnych projektów oprogramowania zgłosiło otrzymywanie raportów o błędach, które są później identyfikowane jako halucynacje, przyciągając podobieństwa do „AI Slop” w kontekście nagród błędów. Ionescu wcześniej skomentował ten problem, stwierdzając: „To problem, na który wpadają ludzie, czy otrzymujemy wiele rzeczy, które wyglądają jak złoto, ale to po prostu bzdury”.
