Google шукає баги за допомогою штучного інтелекту

Google представила нову AI-систему виявлення помилок Big Sleep, яка використовує LLM (великі мовні моделі) для аналізу коду. Віце-президент з безпеки Google Heather Adkins заявила, що система вже допомогла виявити 20 нових вразливостей, деякі з яких класифіковані як критичні. Система застосовувалася до програмного забезпечення з відкритим кодом, у тому числі cURL, FFmpeg, ImageMagick, Envoy, libjpeg, gRPC, тощо. AI виявила помилки, які не знаходили люди, зокрема помилки меж масивів, use-after-free тощо.

Система розроблялась командами DeepMind і хакерами Project Zero, які займаються власною перевіркою безпеки сервісів Google (Blue Team). Google обіцяє відкрити частину інструментів спільноті, щоб підтримати безпеку open-source проєктів.
Водночас компанія закликає інші корпорації інвестувати у подібні AI-рішення для виявлення помилок.

AI-системи для виявлення багів не є новиною. Попри те, що наразі вони здатні "галюцинувати", виявляти баги, які неможливо відтворити в реальності або пропускати критичні вразливості, ці системи безперечно стануть популярними уже в найближчому майбутньому.