Big Sleepは、GoogleのDeepMind AI部門とProject Zeroの精鋭専門家グループの協力であり、ソースコードのエラーを見つけるために研究者のエラー検索方法をシミュレートした大規模言語モデル(LLM)を使用しています。
Googleのセキュリティ担当副社長であるヘザー・アドキンス氏の共有によると、Big Sleepは、主にオーディオおよびビデオライブラリFFmpegやImageMagick画像編集キットなどのオープンソースソフトウェアで、最初の20個のセキュリティホールを発見しました。
セキュリティホールがまだ修正されていないため、グーグルはまだ詳細な情報を提供していませんが、Big Sleepがこれらの脆弱性を発見したことは非常に重要です。なぜなら、これらのツールが、このケースで人間の介入があっても、真の結果をもたらし始めていることを示しているからです。
TechCrunchとのインタビューで、Googleの広報担当者であるキムベリー・サムラ氏は、「レポートが高品質で有用であることを保証するために、レポート作成前に専門家が参加しますが、すべての脆弱性はAIによって発見され、人間の介入なしに再構築されます」と述べました。
Googleの技術担当副社長であるロイヤル・ハンセン氏は、Xに、これらの発見は「自動脆弱性検出における新たな境界線」を証明していると書いています。
LLMでサポートされているセキュリティ脆弱性を検索および検出できるツールが実現しました。Big Sleepに加えて、RunSybilとXBOW、および他の多くのツールがあります。
XBOWは、ハッカーOne追跡プラットフォームで米国のランキングトップ10に入った後、注目を集めました。重要なことに注意すべき点は、ほとんどの場合、Big Sleepの場合のように、脆弱性レポートの正確性を保証するために、特定の段階で人間の検証が必要になることです。
AIを使用したスキャンツールを開発するスタートアップ企業であるRunSybilの共同創設者兼テクノロジーディレクターであるVlad Ionescu氏は、TechCrunchに、「Big Sleep」は「優れた設計、背後にいる人々が彼らが何をしているかを知っている、Project Zeroはエラーを見つける経験があり、DeepMindは問題を解決するための力と通知コードを持っている」ため、「ソリューション」プロジェクトであると語りました。
明らかに、これらのツールは非常に有望ですが、いくつかの重要な欠点もあります。さまざまなソフトウェアプロジェクトの管理者の多くが、実際には幻覚的なエラー報告について不満を述べています。
「人々が直面している問題は、金のように見えるものがたくさんあるのに、実際にはゴミにすぎないことです」とイオノベースは語りました。
