AI 的普及令不少黑客進行網絡攻擊的門檻降低,另一方面也可以用來自動化提升網絡安全。Google 就宣佈其 AI 驅動的漏洞研究工具 Big Sleep 成功發現並報告 20 個開源軟件安全漏洞,標誌著自動化漏洞發現技術從實驗階段邁向實際應用,為整個網絡安全行業開創全新防禦模式。
DeepMind 與 Project Zero 聯手突破
Google 安全副總裁 Heather Adkins 週一宣佈,該公司基於大語言模型的漏洞研究員 Big Sleep 發現並報告首批安全漏洞。Big Sleep 由 Google AI 部門 DeepMind 與其精英黑客團隊 Project Zero 聯合開發,這次發現的漏洞主要集中在開源軟件中,包括音頻和影片庫 FFmpeg 以及圖像編輯套件 ImageMagick。
Google 工程副總裁 Royal Hansen 在 X 平台發文表示,這些發現證明了「自動化漏洞發現的新前沿」。這項成就的重要性不僅在於技術突破本身,更在於 AI 工具開始在現實世界的安全防護中發揮實際作用。
由於相關漏洞尚未修復,Google 按照標準政策暫未透露具體影響程度或嚴重性細節。但 Big Sleep 成功發現這些漏洞的事實本身已具重大意義,顯示 AI 安全工具正開始產生實際成果。
人機協作確保報告品質
Google 發言人 Kimberly Samra 表示:「為確保高品質和可操作的報告,我們在報告前安排人類專家參與審核,但每個漏洞都是由 AI 代理在沒有人為干預的情況下發現和重現的」。
這種人機協作模式反映當前 AI 漏洞獵人技術的發展現況。雖然 AI 系統能夠獨立發現和驗證漏洞,但仍需要人類專家進行最終審核,確保報告的准確性和實用性。這種設計平衡了自動化效率與人工判斷的可靠性。
AI 漏洞獵人生態系統興起
基於大語言模型的漏洞發現工具已成為現實。除 Big Sleep 外,市場上還有 RunSybil 和 XBOW 等同類產品。XBOW 更因在美國漏洞懸賞平台 HackerOne 排行榜名列前茅而獲得關注。
開發 AI 漏洞獵人的初創公司 RunSybil 聯合創辦人兼技術總監 Vlad Ionescu 表示,Big Sleep 是一個「合法」項目,因為它具備「良好設計,背後的人知道自己在做什麼,Project Zero 擁有漫洞發現經驗,DeepMind 擁有投入其中的火力和代幣」。這些評價反映業界對 Google 這項技術的認可,特別是其結合了 DeepMind 的 AI 技術實力與 Project Zero 的實戰安全經驗。
技術承諾與現實挑戰並存
AI 漏洞獵人技術雖然前景廣闊,但也面臨重大挑戰。多個軟件項目維護者抱怨收到實際上是幻覺的漏洞報告,有人將這些稱為漏洞懸賞方面的「AI 垃圾」。
Vlad Ionescu 此前曾經坦承:「人們遇到的問題是,我們收到很多看起來像黃金的東西,但實際上只是垃圾」。AI 系統在複雜安全分析中仍可能產生誤判,需要持續改進算法精確度。
自動化安全防護新模式
Big Sleep 的成功標誌著網絡安全防護進入新階段。傳統漏洞發現主要依賴人工安全研究員的經驗和直覺,這種方式雖然准確但效率有限。AI 漏洞獵人能夠 24 小時不間斷地掃描和分析代碼,大幅提升漏洞發現的覆蓋範圍和速度。
這種技術轉變對軟件開發和維護產生深遠影響。開源項目維護者將能夠更快速地發現和修復潛在安全威脅,提升整體軟件生態系統的安全水平。
行業競爭格局重新洗牌
Google Big Sleep 的突破將推動整個網絡安全行業加快 AI 技術應用。傳統安全公司需要重新評估其產品策略,考慮如何整合 AI 能力以保持競爭力。
同時,這項技術的成功也為網絡安全人才市場帶來新要求。安全專業人士需要學會與 AI 工具協作,將人工智能作為增強自身能力的工具,而非替代威脅。
開源軟件安全生態受益
Big Sleep 首批發現的漏洞主要集中在 FFmpeg 和 ImageMagick 等廣泛使用的開源軟件中,這對整個開源生態系統具有重要意義。這些軟件被數百萬應用程式和網站使用,及早發現和修復漏洞能夠防止大規模安全事件。
開源項目通常依賴社群貢獻進行安全維護,資源相對有限。AI 漏洞獵人技術的普及將為這些項目提供強大的安全支援,提升整體開源軟件的安全標準。
未來發展前景展望
隨著 AI 技術不斷進步,漏洞獵人工具的准確性和效率將持續提升。機器學習算法能夠從每次發現中學習,逐步減少誤報率並提高真實漏洞的識別能力。
這項技術的發展也將推動網絡安全防護從被動響應轉向主動預防,組織機構可以在攻擊者發現漏洞之前主動識別和修復安全隱患,從根本上改善網絡安全態勢。
Google Big Sleep 的首次成功只是開始,隨著更多科技巨頭和初創公司投入 AI 安全技術研發,自動化漏洞發現將成為網絡安全防護的標準配置,為數碼世界構建更強大的防護屏障。
來源:TechCrunch
