20 biztonsági sérülékenységet tárt fel a Google AI-bugkeresője

Heather Adkins, a Google biztonsági alelnöke hétfőn számolt be a cég AI-alapú bugkereső rendszerének friss eredményeiről. A nagy nyelvi modellre (LLM) épített Big Sleep sebezhetőségkutató eszköz mintegy húsz eddig fel nem fedezett biztonsági rést azonosított különböző népszerű nyílt forrású szoftverekben. A hibák jelentős részét az Ffmpeg audio- és videokönyvtárban, valamint az ImageMagick képszerkesztő programban sikerült azonosítani. A sebezhetőségek javítására szolgáló foltok egyelőre még nem érhetők el, és a Google sem közölt további részleteket a hibák súlyosságáról. Fontos eredmény azonban, hogy a Big Sleep első alkalommal tudott ilyen nagy számban új biztonsági réseket találni, és valódi eredményeket produkálni.

Ugyan a keresőcég a jelentések minőségének garantálásához bevont a folyamatba egy humán szakértőt is a validáláshoz, és az emberi felügyelet ezen a ponton egyáltalán nem vonható ki az egyenletből, de a sebezhetőségeket az AI-eszköz találta meg és reprodukálta emberi beavatkozás nélkül. A Big Sleep így a jövőben a kódok manuális vizsgálatára vagy statikus elemzőeszközökre támaszkodó hagyományos sebezhetőség-észlelési módszereket egészítheti ki.

A Big Sleep rendszert a keresőóriás DeepMind AI-laborja fejlesztette kollaborációban a Project Zero biztonsági csapattal. Az eszköz a rosszindulatú felek tevékenységét stimulálja, és szisztematikusan vizsgálja a kódot és a hálózati szolgáltatásokat potenciális exploitokat keresve. Képes a többlépcsős és összetett sebezhetőségeket is felfedezni, miközben új stratégiákat adaptál és tanul a környezetből.

A legtöbb esetben még emberi szakértő bevonásával zajlanak a folyamatok, akik a jelentések elkészítésében vesznek részt, illetve több ponton ellenőrzik, hogy az AI hibakereső valódi sebezhetőséget talált-e. Erre azért van szükség, mert bár az eljárás felgyorsítja a hibakeresési folyamatot, vannak hátulütői: számos, különböző szoftverprojekteket karbantartó személy panaszkodott olyan hibajelentésekre, amelyek valójában hallucinációk voltak, mondhatni AI által generált hulladék-hibajegyek.

A Google szerint az ilyen és hasonló eszközök természetesen nem képesek helyettesíteni a biztonsági kutatók munkáját, inkább kiterjesztik a lehetőségeket, mivel a Big Sleep több ezer tesztet tud futtatni ugyanannyi idő alatt, míg egy humán szakértő néhányat képes csak elvégezni. Így a kiberbiztonsági csapat szakértői a bonyolultabb problémákra fókuszálhatnak, míg az AI a repetititív és időigényes munkával foglalkozhat, így a jövőben hibrid csapatok tűnnek a leghatékonyabbnak.

A kifejezetten sebezhetőségeket kereső ismertebb LLM-alapú eszközök közt említhető még a RunSybil és az XBOW, utóbbinak sikerült a HackerOne bug bounty platform ranglistájának élére is kerülnie. A Big Sleepről először 2025 elején hallhatott a szélesebb közösség, amikor a segítségével sikerült azonosítani a CVE-2025-6965 azonosítóval nyilvántartott kritikus hibát az SQLite nyílt forrású adatbáziskezelő motorban.