Nueva herramienta de caza de errores impulsada por IA de Google detecta problemas significativos en software de código abierto.
Big Sleep emite sus primeras 20 advertencias.
Google ha presentado Big Sleep, una herramienta impulsada por inteligencia artificial diseñada para detectar vulnerabilidades en software de código abierto. Este desarrollo es fruto de las colaboraciones entre los equipos de inteligencia artificial y seguridad de DeepMind y Project Zero. En su primer informe, Big Sleep ha identificado 20 fallos de seguridad en proyectos como FFmpeg e ImageMagick, aunque los detalles sobre estos problemas no se divulgarán hasta que sean corregidos.
La compañía destaca que Big Sleep representa un avance crucial en la seguridad de aplicaciones, ya que esta tecnología puede descubrir y reportar vulnerabilidades de manera más efectiva que los profesionales de seguridad humanos. Cada una de las 20 vulnerabilidades fue hallada y reproducida de forma autónoma por Big Sleep. Sin embargo, Google subraya que un experto humano revisa las conclusiones antes de hacerlas públicas, con el fin de mitigar preocupaciones sobre falsos positivos o errores generados por la IA, asegurando que los problemas sean dignos de ser comunicados a sus respectivos desarrolladores.
Detalles adicionales como los identificadores CVE y explicaciones técnicas se mantendrán en secreto durante un periodo de 90 días, lo que permite a los desarrolladores abordar estos problemas sin que los atacantes se adelanten. Kent Walker, presidente de Relaciones Globales, resaltó el potencial de Big Sleep al declarar que identifica vulnerabilidades en situaciones del mundo real, lo que demuestra su capacidad para llenar brechas de seguridad antes de que afecten a los usuarios.
Heather Adkins, vicepresidenta de Ingeniería de Seguridad, anunció este progreso en una publicación en redes sociales, subrayando el compromiso de Google con la transparencia en este ámbito. La compañía tiene una lista completa de las vulnerabilidades identificadas, que actualmente clasifica como de alto, medio y bajo impacto. Además, Google planea ofrecer una sesión técnica completa en los próximos eventos Black Hat USA y DEF CON 33, y donará datos de entrenamiento anónimos al Secure AI Framework para que otros investigadores puedan beneficiarse de esta tecnología.
