Google安全副总裁Heather Adkins宣布，其人工智能研究员Big Sleep在多种流行开源软件中发现了20个漏洞，主要涉及FFmpeg和ImageMagick等。这些漏洞由AI代理独立发现并重现，标志着自动化漏洞发现领域的新进展。尽管部分漏洞细节尚未公开，但此举证明了基于大语言模型的工具在安全研究中的实际效用。该项目结合了DeepMind的强大资源和Project Zero的漏洞查找经验，预示着AI在网络安全领域的光明前景，但也引发了关于AI报告准确性和维护者工作量的讨论。

🎯 AI驱动的漏洞发现：Google的研究员Big Sleep利用大语言模型技术，成功在FFmpeg和ImageMagick等广泛使用的开源软件中定位了20个安全漏洞，展现了AI在网络安全领域的强大潜力，能够独立发现并重现潜在威胁。

🔬 验证与合作：尽管漏洞是由AI代理发现的，但Google强调在报告前会聘请人类专家进行验证，以确保报告的高质量和可操作性。这一过程结合了AI的效率和人类的专业判断，是AI在复杂安全任务中取得成功的关键。

🚀 行业新趋势：Big Sleep的成功表明，基于LLM的自动化漏洞发现已成为现实，并预示着该领域将开辟新的可能性。RunSybil和XBOW等其他AI漏洞猎手的出现，也进一步证明了这一技术趋势的广泛性和重要性。

💡 前景与挑战并存：虽然AI在漏洞发现方面前景广阔，但同时也面临挑战。部分软件维护者抱怨AI生成的错误报告存在“幻觉”，甚至被视为“人工智能垃圾”。这提示我们在享受AI带来的便利的同时，也需要关注其准确性和对人工维护工作的影响。

🌟 Google的实践：Google的这一举措，将AI能力与Project Zero的专业经验相结合，由DeepMind提供强大的资源支持，显示了其在利用前沿技术提升网络安全方面的决心和实力，为其他组织提供了AI应用的安全研究范例。

Google安全副总裁 Heather Adkins周一宣布，其大语言模型漏洞研究员 Big Sleep 在多种流行开源软件中发现并报告了 20 个漏洞。由公司人工智能部门 DeepMind 及其精英黑客团队 Project Zero 开发的 Big Sleep首次报告了漏洞，这些漏洞主要存在于音频和视频库 FFmpeg 和图像编辑套件 ImageMagick 等开源软件中。 

鉴于这些漏洞尚未修复，我们目前尚不清楚其影响或严重程度，因为Google目前不愿提供详细信息，而这在等待漏洞修复时是常规做法。但 Big Sleep 发现这些漏洞这一简单事实意义重大，因为它表明这些工具开始取得实际成效，即使此案中涉及人为因素。 

Google发言人金伯利·萨姆拉 (Kimberly Samra) 表示：“为了确保报告的高质量和可操作性，我们在报告之前会聘请一位人类专家参与，但每个漏洞都是由人工智能代理发现并重现的，无需人工干预。” 

Google工程副总裁 Royal Hansen在 X 上写道，这一发现表明“自动化漏洞发现领域开辟了新领域”。 基于 LLM 的工具能够查找和发现漏洞已经成为现实。除了 Big Sleep，还有RunSybil和 XBOW 等。 

XBOW 在漏洞赏金平台 HackerOne 的美国排行榜上名列前茅后，引起了媒体的关注。值得注意的是，在大多数情况下，这些报告在流程的某个阶段都会有人工参与，以验证人工智能漏洞猎人是否发现了合法的漏洞，Big Sleep 就是这种情况。

RunSybil 是一家开发人工智能漏洞猎手的初创公司，其联合创始人兼首席技术官 Vlad Ionescu 介绍说，Big Sleep 是一个“合法”的项目，因为它“设计精良，背后的人知道自己在做什么，Project Zero 拥有漏洞查找经验，而 DeepMind 拥有强大的资源来支持它”。

这些工具显然前景光明，但也存在一些明显的缺陷。一些维护不同软件项目的人抱怨说，他们的错误报告实际上是幻觉，有些人甚至称其为“漏洞赏金计划”版的人工智能垃圾。