Big Sleep est une collaboration entre le departement d'IA DeepMind de Google et un groupe d'experts fortunes de Project Zero utilisant un modele de langage grand public (LLM) qui simule la methode de recherche de bugs des chercheurs pour rechercher des bugs dans le code source.
Selon Heather Adkins vice-presidente de la securite chez Google Big Sleep a detecte les 20 premieres failles de securite principalement dans les logiciels open source tels que la bibliotheque audio et video FFmpeg et le logiciel de retouche photo ImageMagick.
Etant donne que les failles de securite n'ont pas encore ete corrigees Google ne souhaite toujours pas fournir de details mais la decouverte par Big Sleep de ces failles est tres importante car elle montre que ces outils commencent a apporter des resultats reels meme en cas d'intervention humaine dans ce cas.
S'adressant a TechCrunch le porte-parole de Google Kimberly Samra a declare : 'Pour garantir que les rapports soient de haute qualite et utiles nous avons un expert participant avant de publier les rapports mais chaque faille est trouvee et recreee par l'IA sans intervention humaine'.
Royal Hansen vice-president en charge de la technologie chez Google a ecrit sur X que ces decouvertes prouvent 'une nouvelle frontiere dans la detection automatique des failles'.
Les outils pris en charge par LLM capables de rechercher et de detecter les failles de securite sont devenus une realite. Outre Big Sleep il existe egalement RunSybil et XBOW ainsi que de nombreux autres outils.
XBOW a attire l'attention apres avoir atteint le top 10 des charts americains sur la plateforme de recherche de bugs HackerOne. Il est important de noter que dans la plupart des cas la verification humaine est necessaire a certaines etapes pour garantir l'exactitude du rapport de vulnerabilite comme dans le cas de Big Sleep.
Vlad Ionescu cofondateur et directeur de la technologie chez RunSybil une start-up qui developpe des outils de recherche de bugs utilisant l'IA a declare a TechCrunch que Big Sleep est un projet 'propre' car il a un bon design les personnes derriere sa tete savent ce qu'ils font Project Zero a de l'experience dans la recherche de bugs et DeepMind a la force et le code de notification pour resoudre les problemes.
Il est clair que ces outils sont tres prometteurs mais ils presentent egalement des inconvenients importants. De nombreux gestionnaires de differents projets logiciels se sont plaints des rapports d'erreurs qui sont en fait des hallucinations.
Le probleme que tout le monde rencontre est que nous recevons beaucoup de choses qui ressemblent a de l'or mais qui ne sont en realite que des dechets' a partage Ionescu.
