:

Szerző: Dömös Zsuzsanna

2025. augusztus 5. 11:00

20 biztonsági sérülékenységet tárt fel a Google AI-bugkeresője

A keresőcég szerint új utak nyílhatnak meg az automatizált sebezhetőség-felderítésben, miután a DeepMind által fejlesztett bugkeresővel több mint két tucat eddig fel nem tárt hibát sikerült azonosítani népszerű open source szoftverekben.

Heather Adkins, a Google biztonsági alelnöke hétfőn számolt be a cég AI-alapú bugkereső rendszerének friss eredményeiről. A nagy nyelvi modellre (LLM) épített Big Sleep sebezhetőségkutató eszköz mintegy húsz eddig fel nem fedezett biztonsági rést azonosított különböző népszerű nyílt forrású szoftverekben. A hibák jelentős részét az Ffmpeg audio- és videokönyvtárban, valamint az ImageMagick képszerkesztő programban sikerült azonosítani. A sebezhetőségek javítására szolgáló foltok egyelőre még nem érhetők el, és a Google sem közölt további részleteket a hibák súlyosságáról. Fontos eredmény azonban, hogy a Big Sleep első alkalommal tudott ilyen nagy számban új biztonsági réseket találni, és valódi eredményeket produkálni.

Ugyan a keresőcég a jelentések minőségének garantálásához bevont a folyamatba egy humán szakértőt is a validáláshoz, és az emberi felügyelet ezen a ponton egyáltalán nem vonható ki az egyenletből, de a sebezhetőségeket az AI-eszköz találta meg és reprodukálta emberi beavatkozás nélkül. A Big Sleep így a jövőben a kódok manuális vizsgálatára vagy statikus elemzőeszközökre támaszkodó hagyományos sebezhetőség-észlelési módszereket egészítheti ki.

googlebiglsleep

A Big Sleep rendszert a keresőóriás DeepMind AI-laborja fejlesztette kollaborációban a Project Zero biztonsági csapattal. Az eszköz a rosszindulatú felek tevékenységét stimulálja, és szisztematikusan vizsgálja a kódot és a hálózati szolgáltatásokat potenciális exploitokat keresve. Képes a többlépcsős és összetett sebezhetőségeket is felfedezni, miközben új stratégiákat adaptál és tanul a környezetből.

A legtöbb esetben még emberi szakértő bevonásával zajlanak a folyamatok, akik a jelentések elkészítésében vesznek részt, illetve több ponton ellenőrzik, hogy az AI hibakereső valódi sebezhetőséget talált-e. Erre azért van szükség, mert bár az eljárás felgyorsítja a hibakeresési folyamatot, vannak hátulütői: számos, különböző szoftverprojekteket karbantartó személy panaszkodott olyan hibajelentésekre, amelyek valójában hallucinációk voltak, mondhatni AI által generált hulladék-hibajegyek.

A Google szerint az ilyen és hasonló eszközök természetesen nem képesek helyettesíteni a biztonsági kutatók munkáját, inkább kiterjesztik a lehetőségeket, mivel a Big Sleep több ezer tesztet tud futtatni ugyanannyi idő alatt, míg egy humán szakértő néhányat képes csak elvégezni. Így a kiberbiztonsági csapat szakértői a bonyolultabb problémákra fókuszálhatnak, míg az AI a repetititív és időigényes munkával foglalkozhat, így a jövőben hibrid csapatok tűnnek a leghatékonyabbnak.

A kifejezetten sebezhetőségeket kereső ismertebb LLM-alapú eszközök közt említhető még a RunSybil és az XBOW, utóbbinak sikerült a HackerOne bug bounty platform ranglistájának élére is kerülnie. A Big Sleepről először 2025 elején hallhatott a szélesebb közösség, amikor a segítségével sikerült azonosítani a CVE-2025-6965 azonosítóval nyilvántartott kritikus hibát az SQLite nyílt forrású adatbáziskezelő motorban.

Áprilisi, minden munkavállaló számára kötelező, laza jogi hallgatmányunk után itt a második, befejező rész. Nem kell megijedni, informatív és hasznos lesz ez is! Ennyi a minimum, amit munkavállalóként illik tudnod.

a címlapról

jogi esetek

0

Üzleti titkokat lophattak a TSMC-től

2025. augusztus 5. 09:51

A cég egykori alkalmazottai a legfejlettebb gyártástechnológiával kapcsolatos információkat szivárogtathattak.