Google dice que su cazador de errores basado en IA encontró 20 vulnerabilidades de seguridad
El cazador de errores con IA de Google acaba de informar su primer lote de vulnerabilidades de seguridad.
Heather Adkins, vicepresidenta de seguridad de Google, anunciado El lunes que su investigador de vulnerabilidad basado en LLM Big Sleep encontró e informó 20 defectos en varios software popular de código abierto.
Adkins dijo que Big Sleep, que está desarrollado por el departamento de inteligencia artificial de la compañía DeepMind, así como su equipo de élite del Proyecto de Hackers Zero, informó sus primeras vulnerabilidadesprincipalmente en software de código abierto, como la biblioteca de audio y videos FFMPEG y la suite de edición de imágenes ImageMagick.
Dado que las vulnerabilidades aún no están fijas, no tenemos detalles de su impacto o gravedad, como Google aún no quiere proporcionar detallesque es una política estándar cuando se espera que se solucionen los errores. Pero el simple hecho de que Big Sleep encontró estas vulnerabilidades es significativo, ya que muestra que estas herramientas están comenzando a obtener resultados reales, incluso si hubo un humano involucrado en este caso.
“Para garantizar informes de alta calidad y procesables, tenemos un experto humano en el bucle antes de informar, pero cada vulnerabilidad fue encontrada y reproducida por el agente de IA sin intervención humana”, dijo la portavoz de Google, Kimberly Samra, a TechCrunch.
Royal Hansen, vicepresidente de ingeniería de Google, escribió en x que los hallazgos demuestran “una nueva frontera en el descubrimiento de vulnerabilidad automatizado”.
Herramientas con alimentación de LLM que pueden buscar y encontrar vulnerabilidades ya son una realidad. Aparte de un gran sueño, hay Runsybil y Xbow, entre otros.
Evento de TechCrunch
San Francisco
|
27-29 de octubre de 2025
Xbow ha obtenido titulares después de Llegó a la cima de una de las tablas de clasificación de los Estados Unidos en la plataforma Bug Bounty Hackerone. Es importante tener en cuenta que en la mayoría de los casos, estos informes tienen un humano en algún momento del proceso para verificar que el cazador de insectos con IA encontró una vulnerabilidad legítima, como es el caso con un gran sueño.
Vlad Ionescu, cofundador y director de tecnología de Runsybil, una startup que desarrolla cazadores de errores con IA, le dijo a TechCrunch que Big Sleep es un proyecto “legítimo”, dado que tiene “un buen diseño, las personas detrás de lo que están haciendo, Project Zero tiene la experiencia de búsqueda de errores y profundo tiene la potencia de fuego y los tokens para lanzar”.
Obviamente, hay muchas promesas con estas herramientas, pero también inconvenientes significativas. Varias personas que mantienen diferentes proyectos de software se han quejado de Informes de errores que en realidad son alucinacionesy algunos los llaman el equivalente de recompensa de errores de AI Slop.
“Ese es el problema con el que la gente se encuentra, es que estamos obteniendo muchas cosas que parecen oro, pero en realidad es solo una mierda”, dijo Ionescu previamente a TechCrunch.
