Der von DeepMind und Project Zero entwickelte KI-betriebene Bug-Hunter Big Sleep hat 20 Sicherheitslücken in der Open-Source-Software identifiziert, die die erste öffentliche Berichterstattung über Fehler markiert.
Im Rahmen unseres Engagements für Transparenz in diesem Bereich sind wir heute stolz bekannt zu geben, dass wir über die ersten 20 Schwachstellen berichtet haben, die mit unseren KI-basierten KI entdeckt wurden "Großer Schlaf" System von Gemini angetrieben – https://t.co/0sgplazqaq
– Heather Adkins – ꜻ – SPES Consilium Nonst (@Argvee) 4. August 2025
Heather Adkins, Vice President of Security von Google, gab am Montag bekannt, dass Big Sleep, ein LLM-basierter Sicherheitslückenforscher, diese Fehler in verschiedenen beliebten Open-Source-Softwareanwendungen entdeckt hat. Die identifizierten Schwachstellen wirken sich hauptsächlich auf Systeme wie FFMPEG, eine Audio- und Videobibliothek und Imagemagick, eine Bildbearbeitungssuite aus. Details zu den spezifischen Auswirkungen oder Schwere dieser Schwachstellen wurden aufgrund des Standardprotokolls von Quelleninformationen von Google bis zur Implementierung nicht veröffentlicht.
Kimberly Samra, ein Sprecher von Google, hat den Prozess, der an diesen Entdeckungen beteiligt ist, klargestellt. Samra erklärte: „Um qualitativ hochwertige und umsetzbare Berichte zu gewährleisten, haben wir vor der Berichterstattung einen menschlichen Experten in der Schleife, aber jede Verwundbarkeit wurde vom KI -Agenten ohne menschliche Intervention gefunden und reproduziert.“ Dieses Verfahren bestätigt, dass die Ersterkennung und Reproduktion der Sicherheitsanfälligkeit zwar vom AI -Agenten autonom durchgeführt werden.
Royal Hansen, Vizepräsident für Engineering von Google, bezeichnete diese Ergebnisse als „eine neue Grenze für automatisierte Sicherheitsanfälligkeitsergebnisse“ in einem Posten auf X. Big Sleep ist nicht das einzige LLM-angetriebene Tool, das für die Erkennung von Schwachstellen entwickelt wurde. Andere bemerkenswerte Beispiele sind Runsybil und Xbow.
Xbow hat die Aufmerksamkeit für die Erreichung der Spitzenposition auf einer US -amerikanischen Rangliste innerhalb der Bug Bounty Platform Hackerone erhalten. Ähnlich wie bei Big Sleep enthalten viele dieser KI-betriebenen Insektenjäger einen menschlichen Überprüfungsschritt, um die Legitimität erkannter Schwachstellen zu bestätigen. Vlad Ionescu, Mitbegründer und Chief Technology Officer von Runsybil, ein Startup, das sich auf KI-Bug-Jäger spezialisiert hat, beschrieb Big Sleep als „legitimes“ Projekt. Er führte diese Einschätzung auf ihr „gutes Design, die Leute dahinter wissen, was sie tun, Project Zero hat die Erfahrung von Insekten und DeepMind hat die Feuerkraft und die Token, um sie zu werfen.“
Während das Potenzial dieser KI -Tools zur Identifizierung von Sicherheitsfehlern offensichtlich ist, gibt es auch feste Nachteile. Mehrere Betreuer verschiedener Softwareprojekte haben berichtet, dass Fehlerberichte erhalten wurden, die später als Halluzinationen identifiziert werden, die im Kontext von Bug -Bounties parallel zu „KI -Slop“ gezogen werden. Ionescu kommentierte zuvor zu diesem Thema und erklärte: „Das ist das Problem, in das die Leute trennen, wir bekommen eine Menge Dinge, die wie Gold aussehen, aber es ist eigentlich nur Mist.“
