Big Sleep es una colaboracion entre la division de IA DeepMind de Google y un grupo de expertos de Project Zero que utilizan un modelo de lenguaje grande (LLM) que simula el metodo de busqueda de errores de los investigadores para encontrar errores en el codigo fuente.
Segun compartio Heather Adkins vicepresidenta de seguridad de Google Big Sleep descubrio las primeras 20 vulnerabilidades de seguridad principalmente en software de codigo abierto como la biblioteca de audio y video FFmpeg y el editor de imagenes ImageMagick.
Debido a que las vulnerabilidades de seguridad aun no se han solucionado Google aun no quiere proporcionar informacion detallada pero el descubrimiento por parte de Big Sleep de estas vulnerabilidades es muy importante porque muestra que estas herramientas estan comenzando a dar resultados reales incluso con la intervencion humana en este caso.
Compartiendo con TechCrunch la portavoz de Google Kimberly Samra dijo: 'Para garantizar que los informes sean de alta calidad y utiles tenemos un experto participando antes de los informes pero cada vulnerabilidad es encontrada por la IA y recreada sin la intervencion humana'.
Royal Hansen vicepresidente de tecnologia de Google escribio en X que estos hallazgos demuestran 'una nueva frontera en el descubrimiento automatico de vulnerabilidades'.
Las herramientas compatibles con LLM con la capacidad de buscar y detectar vulnerabilidades de seguridad se han hecho realidad. Ademas de Big Sleep tambien estan RunSybil y XBOW junto con muchas otras herramientas.
XBOW atrajo la atencion despues de entrar en el top 10 de las listas de exitos de Estados Unidos en la plataforma de busqueda de errores HackerOne. Lo importante a tener en cuenta es que en la mayoria de los casos a menudo se necesita la verificacion humana en algunas etapas para garantizar la precision del informe de vulnerabilidad como en el caso de Big Sleep.
Vlad Ionescu cofundador y director de tecnologia de RunSybil una startup que desarrolla herramientas de busqueda de errores utilizando IA compartio con TechCrunch que Big Sleep es un proyecto de'solucion' porque tiene un buen diseño las personas detras saben lo que estan haciendo Project Zero tiene experiencia en la busqueda de errores y DeepMind tiene poder y codigo de notificacion para resolver el problema.
Claramente estas herramientas son muy prometedoras pero tambien tienen desventajas significativas. Muchas personas que gestionan diferentes proyectos de software se han quejado de que los informes de errores son en realidad ilusiones.
El problema al que se enfrenta la gente es que recibimos muchas cosas que parecen doradas pero en realidad son solo basura' compartio Ionescu.
