Google ищет баги с помощью искусственного интеллекта

Google представила новую AI-систему обнаружения ошибок Big Sleep, которая использует LLM (большие языковые модели) для анализа кода. Вице-президент по безопасности Google Heather Adkins заявила, что система уже помогла обнаружить 20 новых уязвимостей, некоторые из которых классифицированы как критические. Система применялась к программному обеспечению с открытым кодом, в том числе cURL, FFmpeg, ImageMagick, Envoy, libjpeg, gRPC, и тому подобное. AI обнаружила ошибки, которые не находили люди, в частности ошибки границ массивов, use-after-free и тому подобное.

Система разрабатывалась командами DeepMind и хакерами Project Zero, которые занимаются собственной проверкой безопасности сервисов Google (Blue Team). Google обещает открыть часть инструментов сообществу, чтобы поддержать безопасность open-source проектов.
В то же время компания призывает другие корпорации инвестировать в подобные AI-решения для выявления ошибок.

AI-системы для выявления багов не являются новостью. Несмотря на то, что сейчас они способны "галлюцинировать", выявлять баги, которые невозможно воспроизвести в реальности или пропускать критические уязвимости, эти системы определенно станут популярными уже в ближайшем будущем.