Новая система безопасности от Google, базирующаяся на искусственном интеллекте, обнаружила 20 реальных уязвимостей в популярных open‑source проектах.
Big Sleep — инструмент, созданный совместными усилиями DeepMind и команды Project Zero — уже доказал свою эффективность, но при этом всё ещё требуется участие человека в процессе проверки результатов.
Продемонстрированы реальные находки
Google AI-инженеры сообщили, что Big Sleep самостоятельно обнаружил 20 уязвимостей в библиотеках с открытым кодом, таких как FFmpeg и ImageMagick. На каждом этапе автоматическое обнаружение подтверждалось вручную специалистами безопасности, чтобы исключить ложные срабатывания и гарантировать корректность заявлений.
Конструктивный подход: AI + эксперт
Big Sleep работает так:
-
ИИ сканирует код, обнаруживает потенциальные проблемы и пытается автоматически воспроизвести уязвимость.
-
Затем сервер безопасности Project Zero проверяет результаты, оценивает серьёзность, уточняет детали и только после этого официально сообщает найденные баги разработчикам проектов.
Такой подход обеспечивает надёжность и точность в условиях масштабного анализа open-source экосистемы.
Значимость для отрасли безопасности
Это один из первых практических примеров, когда AI помогает действительно найти ранее неизвестные угрозы. Такой инструмент способен существенно ускорить поиск уязвимостей и снизить нагрузку на специалистов. Это особенно важно для open-source проектов, где объём кода большой, а ресурсы по обеспечению безопасности ограничены.
Big Sleep показывает, что AI становится фактором не только в аналитике, но и в системной защите ПО.
Потенциальные риски избыточных отчётов
Несмотря на успех, некоторые эксперты предупреждают: AI может генерировать ложноположительные результаты — так называемый «AI slop». В прошлом появились инструменты, которые пытались находить баги, но генерировали ложные или несуществующие уязвимости, отвлекая команды безопасности на бесполезные отчёты.
Однако в Google удалось собрать сильную команду Project Zero и интегрировать проверку результатов людьми, что минимизирует этот риск и делает систему более надёжной.
Чтобы не было сюрприза: политика раскрытия
Google придерживается принципов ответственного раскрытия: данные об уязвимостях становятся публичными только после того, как разработчики успевают выпустить исправления. Таким образом, Big Sleep помогает делать экосистему безопаснее без угрозы преждевременного раскрытия.
Что дальше для Big Sleep и безопасности
Команда Google сообщает, что инструмент уже помог предотвратить эксплуатацию уязвимости SQLite (CVE-2025-6965), обнаружив её до того, как появились реальные атаки. Это подтверждает потенциал масштабной защиты как для open-source, так и для внутренних систем компании.
С развитием AI-инструментов команда Project Zero станет эффективнее защищать цифровую инфраструктуру на ранних этапах угроз.
Итоговая таблица
| Параметр | Данные |
|---|---|
| Инструмент | Big Sleep, AI-багхантер от Google + DeepMind + Project Zero |
| Найдено уязвимостей | 20 реальных — в популярных open‑source библиотеках |
| Комбинация подходов | Автоматическое выявление + ручная экспертная проверка |
| Преимущества | Скорость, масштабируемость, более безопасная экосистема ПО |
| Потенциальные проблемы | Возможны ложные срабатывания — но снижены благодаря человеческой верификации |
| Стратегическое значение | Повышение защиты, ускорение реакции на угрозы в экосистеме ПО |
Big Sleep — важный шаг в эволюции кибербезопасности. Сейчас система способна находить реальные угрозы, объединяя мощь ИИ с экспертным анализом. В будущем подобный подход может стать стандартом для защиты open-source и корпоративного ПО.
ПОХОЖИЕ НОВОСТИ
