A Google acaba de anunciar que o seu novo investigador de segurança baseado em Inteligência Artificial reportou o seu primeiro lote de vulnerabilidades. Heather Adkins, vice-presidente de segurança da empresa, revelou esta segunda-feira que o "Big Sleep", um pesquisador de vulnerabilidades baseado em LLM, encontrou e comunicou 20 falhas em vários projetos de código aberto bastante populares.
Os primeiros troféus do Big Sleep
Desenvolvido em colaboração entre o departamento de IA da Google, o DeepMind, e a sua equipa de elite de hackers, o Project Zero, o Big Sleep fez a sua estreia em grande. As suas primeiras descobertas incidiram maioritariamente sobre software open source, incluindo a biblioteca de áudio e vídeo FFmpeg e o conjunto de edição de imagem ImageMagick.
De momento, os detalhes sobre o impacto ou a severidade destas falhas permanecem em segredo. A Google segue a política padrão da indústria de não divulgar informações sensíveis até que os bugs sejam corrigidos, para evitar a sua exploração maliciosa. Contudo, o simples facto de uma IA ter encontrado estas vulnerabilidades é um marco significativo, demonstrando que estas ferramentas começam a produzir resultados concretos no mundo real.
Ainda há um humano na equação
Apesar da proeza da IA, o processo ainda conta com supervisão humana. "Para garantir relatórios acionáveis e de alta qualidade, temos um especialista humano no circuito antes da comunicação, mas cada vulnerabilidade foi encontrada e reproduzida pelo agente de IA sem intervenção humana", explicou Kimberly Samra, porta-voz da Google.
Esta conquista já está a gerar reações. Royal Hansen, vice-presidente de engenharia da Google, escreveu na sua conta na plataforma X que os resultados demonstram "uma nova fronteira na descoberta automatizada de vulnerabilidades".
O futuro e os perigos da caça a bugs com IA
O Big Sleep não está sozinho neste campo. Ferramentas baseadas em LLM capazes de procurar e encontrar vulnerabilidades já são uma realidade, com outros projetos como o RunSybil e o XBOW a ganharem destaque. O XBOW, por exemplo, chegou ao topo de uma das tabelas de classificação da plataforma de "bug bounty" HackerOne nos EUA.
Vlad Ionescu, cofundador e CTO da RunSybil, uma startup que desenvolve caçadores de bugs com IA, considera o Big Sleep um projeto "legítimo". Esta afirmou que a iniciativa tem "um bom design, as pessoas por trás sabem o que estão a fazer, o Project Zero tem a experiência em encontrar bugs e o DeepMind tem o poder de fogo e os 'tokens' para investir nisso".
No entanto, a par da enorme promessa, existem desvantagens consideráveis. Vários responsáveis pela manutenção de projetos de software têm-se queixado de relatórios de bugs que não passam de alucinações da IA, apelidando-os de o equivalente a "lixo de IA" no mundo dos "bug bounties". "Esse é o problema que as pessoas estão a enfrentar: estamos a receber muita coisa que parece ouro, mas na verdade é apenas lixo", comentou Ionescu.
Nenhum comentário
Seja o primeiro!