Entrada

Google dice que su cazador de bugs basado en IA encontró 20 vulnerabilidades de seguridad.

Publicado
Por TheCodic
2 min de lectura

Google DeepMind presented onstage

Créditos de la imagen: Google

El cazador de bugs impulsado por inteligencia artificial de Google acaba de reportar su primer lote de vulnerabilidades de seguridad.

Heather Adkins, vicepresidenta de seguridad de Google, anunció el lunes que su investigador de vulnerabilidades basado en LLM Big Sleep encontró y reportó 20 fallos en diversos software de código abierto populares.

Adkins dijo que Big Sleep, desarrollado por el departamento de inteligencia artificial de Google DeepMind y su equipo de élite de hackers Project Zero, reportó sus primeras vulnerabilidades, principalmente en software de código abierto como la biblioteca de audio y video FFmpeg y el suite de edición de imágenes ImageMagick.

Dado que las vulnerabilidades aún no están corregidas, no tenemos detalles sobre su impacto o gravedad, ya que Google no quiere proporcionar detalles aún, lo cual es una política estándar mientras se espera que se corrijan los bugs. Sin embargo, el simple hecho de que Big Sleep encontró estas vulnerabilidades es significativo, ya que muestra que estos herramientas están comenzando a obtener resultados reales, incluso si hubo una intervención humana en este caso.

“Para asegurar una alta calidad y reportes accionables, tenemos un experto humano en la cadena antes de reportar, pero cada vulnerabilidad fue encontrada y reproducida por el agente de inteligencia artificial sin intervención humana,” dijo la portavoz de Google Kimberly Samra a TechCrunch.

Royal Hansen, vicepresidenta de ingeniería de Google, escribió en X que los hallazgos demuestran “un nuevo frente en el descubrimiento automatizado de vulnerabilidades.”

Las herramientas impulsadas por LLM que pueden buscar y encontrar vulnerabilidades ya son una realidad. Además de Big Sleep, hay RunSybil y XBOW, entre otros.

XBOW ha ganado titulares después de alcanzar la cima de uno de los liderazgos de la plataforma de recompensas por bugs HackerOne. Es importante tener en cuenta que en la mayoría de los casos, estos informes tienen una intervención humana en algún punto del proceso para verificar que el cazador de bugs impulsado por inteligencia artificial encontró una vulnerabilidad legítima, como en el caso de Big Sleep.

Vlad Ionescu, cofundador y jefe de tecnología de RunSybil, una startup que desarrolla cazadores de bugs impulsados por inteligencia artificial, le dijo a TechCrunch que Big Sleep es un “proyecto legítimo”, ya que tiene “buen diseño, las personas detrás saben lo que hacen, Project Zero tiene experiencia en la búsqueda de bugs y DeepMind tiene el poder y los tokens para lanzarlos.”

Obviamente, hay muchas promesas con estas herramientas, pero también hay desventajas significativas. Varios mantenimientos de diferentes proyectos de software han quejado de reportes de bugs que son en realidad alucinaciones, con algunos llamándolos el equivalente de la recompensa por bugs de la basura de inteligencia artificial.

“Ese es el problema al que se enfrentan, es que estamos recibiendo mucho que parece oro, pero es solo basura,” dijo Ionescu anteriormente a TechCrunch.

Security AI Artificial Intelligence (AI) Big Sleep cybersecurity DeepMind Google hackers infosec LLMs
Esta entrada está licenciada bajo CC BY 4.0 por el autor.