Google’s AI-aangedreven bugjager, Big Sleep, ontwikkeld door DeepMind en Project Zero, heeft 20 beveiligingskwetsbaarheden geïdentificeerd in open-source software, waardoor de eerste openbare rapportage van fouten wordt gemarkeerd.
Vandaag als onderdeel van onze toewijding aan transparantie in deze ruimte, zijn we er trots op aan te kondigen dat we de eerste 20 kwetsbaarheden hebben gemeld die zijn ontdekt met onze AI-gebaseerde "Grote slaap" systeem aangedreven door Gemini – https://t.co/0sgplazqaq
– Heather Adkins – ꜻ – Spes Consilium Non Est (@argvee) 4 augustus 2025
Heather Adkins, de vice-president van Google van beveiliging, onthulde maandag dat Big Sleep, een LLM-gebaseerde kwetsbaarheidsonderzoeker, deze gebreken ontdekte in verschillende populaire open-source softwareapplicaties. De geïdentificeerde kwetsbaarheden die voornamelijk invloed hebben op systemen zoals FFMPEG, een audio- en videobibliotheek en Imagemagick, een afbeelding-bewerking. Details met betrekking tot de specifieke impact of ernst van deze kwetsbaarheden zijn niet vrijgegeven vanwege het standaardprotocol van Google voor het achterhouden van informatie totdat fixes zijn geïmplementeerd.
Kimberly Samra, een woordvoerder van Google, verduidelijkte het proces dat bij deze ontdekkingen betrokken is. Samra verklaarde: “Om van hoge kwaliteit en bruikbare rapporten te zorgen, hebben we een menselijke expert in de lus voordat we rapporteren, maar elke kwetsbaarheid werd gevonden en gereproduceerd door de AI -agent zonder menselijke tussenkomst.” Deze procedure bevestigt dat hoewel menselijke verificatie optreedt, de initiële detectie en reproductie van de kwetsbaarheid autonoom wordt uitgevoerd door het AI -agent.
Royal Hansen, de vice-president van Google, karakteriseerde deze bevindingen als demonstratie van “een nieuwe grens in geautomatiseerde kwetsbaarheidsontdekking” in een bericht over X. Grote slaap is niet de enige LLM-aangedreven tool die is ontworpen voor het detecteren van kwetsbaarheid; Andere opmerkelijke voorbeelden zijn Runsybil en Xbow.
Xbow heeft aandacht gekregen voor het bereiken van de toppositie op een Amerikaans leaderboard binnen de Bug Bounty Platform Hackerone. Net als bij grote slaap, nemen veel van deze AI-aangedreven insectenjagers een menselijke verificatiestap op om de legitimiteit van gedetecteerde kwetsbaarheden te bevestigen. Vlad Ionescu, mede-oprichter en Chief Technology Officer bij Runsybil, een startup die gespecialiseerd is in AI-aangedreven bugjagers, beschreef grote slaap als een “legitiem” project. Hij schreef deze beoordeling toe aan zijn “goede ontwerp, mensen erachter weten wat ze doen, Project Zero heeft de bug -finding -ervaring en DeepMind heeft de vuurkracht en tokens om erop te gooien.”
Hoewel het potentieel van deze AI -tools voor het identificeren van beveiligingsfouten duidelijk is, zijn er ook bekende nadelen. Verschillende beheerders van verschillende softwareprojecten hebben gemeld dat ze bugrapporten hebben ontvangen die later worden geïdentificeerd als hallucinaties, waardoor parallellen worden getrokken met “AI Slop” in de context van boutenbonten. Ionescu gaf eerder commentaar op dit probleem en verklaarde: “Dat is het probleem dat mensen tegenkomen, is dat we veel dingen krijgen die eruit zien als goud, maar het is eigenlijk gewoon onzin.”
Uitgelichte afbeeldingskrediet
