IA caçadora de bugs do Google encontra suas primeiras 20 vulnerabilidades

A Inteligência Artificial (IA) do Google especializada em encontrar falhas de segurança, conhecida como Big Sleep, relatou seu primeiro lote de vulnerabilidades, marcando um avanço significativo na automação da cibersegurança. A ferramenta identificou 20 falhas distintas em softwares populares de código aberto.

A notícia foi anunciada por Heather Adkins, vice-presidente de segurança do Google. O Big Sleep, um pesquisador de vulnerabilidades baseado em Modelo de Linguagem Amplo (LLM), é um projeto colaborativo entre o DeepMind, o renomado departamento de IA da empresa, e o Project Zero, sua equipe de elite de hackers. Entre os softwares afetados estão projetos amplamente utilizados, como a biblioteca de áudio e vídeo FFmpeg e o pacote de edição de imagens ImageMagick.

Embora as vulnerabilidades ainda não tenham sido corrigidas — e, portanto, detalhes sobre sua gravidade e impacto permaneçam sigilosos, seguindo a política padrão de divulgação responsável —, o fato de terem sido encontradas por uma IA é o ponto central. A porta-voz do Google, Kimberly Samra, esclareceu o processo: "Para garantir relatórios acionáveis e de alta qualidade, temos um especialista humano no ciclo antes do reporte, mas cada vulnerabilidade foi encontrada e reproduzida pelo agente de IA sem intervenção humana".

Royal Hansen, vice-presidente de engenharia do Google, descreveu os resultados como "uma nova fronteira na descoberta automatizada de vulnerabilities", destacando o potencial da tecnologia. O Big Sleep não está sozinho neste campo; outras ferramentas como RunSybil e XBOW também estão ativas. O XBOW, inclusive, já alcançou o topo de um dos rankings da plataforma de bug bounty HackerOne nos EUA.

Vlad Ionescu, cofundador e CTO da RunSybil, considera o Big Sleep um projeto "legítimo", citando o design sólido e a vasta experiência combinada do Project Zero na busca por bugs e do DeepMind no poder de processamento de IA.

Apesar da promessa, o uso de IA para caçar bugs apresenta desvantagens significativas. Vários mantenedores de projetos de software têm reclamado do recebimento de relatórios de bugs que, na verdade, são "alucinações" da IA — falhas que não existem. Alguns desenvolvedores já apelidaram o fenômeno de "o equivalente do lixo de IA (AI slop) no mundo do bug bounty".

O problema é a dificuldade de separar o joio do trigo. Os relatórios gerados por IA podem parecer autênticos à primeira vista, mas muitas vezes não têm fundamento, sobrecarregando as equipes de desenvolvimento com análises inúteis.

"Esse é o problema que as pessoas estão enfrentando: estamos recebendo muita coisa que parece ouro, mas na verdade é apenas lixo", comentou Ionescu anteriormente, resumindo o principal desafio que a indústria agora enfrenta ao adotar essas novas tecnologias.

Via - TC