Поделиться
Нейросеть нашла 20 опасных «дыр» в популярных продуктах Open Source
Искусственный интеллект Google впервые самостоятельно выявил 20 ИТ-уязвимостей в открытом программном обеспечении. Баги были обнаружены с помощью системы Big Sleep в таких проектах, как мультимедийная библиотека FFmpeg и графический редактор ImageMagick.
Обнаружение ИТ-уязвимостей
Разработчики Google запустили искателя багов на базе технологий искусственного интеллекта (ИИ), пишет TechCrunch. Первые 20 ИТ-уязвимостей уже найдены, по мнению ИТ-специалистов, это значительный прорыв в автоматизации поиска багов.
Инженеры Google AI сообщили, ИИ-система была разработана командами DeepMind и Project Zero. В августе 2025 г. она демонстрирует высокую эффективность, но все еще требует участия человека для проверки результатов.
Big Sleep автономно выявила 20 ИТ-уязвимостей в библиотеках с открытым кодом, таких как FFmpeg и ImageMagick. На каждом этапе результаты автоматического обнаружения проверялись ИТ-специалистами по безопасности вручную, чтобы исключить ложные срабатывания и обеспечить точность выводов.
Свободно распространяемое программное обеспечение (ПО) с открытым исходным кодом (open source) — это приложения, чей код доступен всем. Их можно загрузить или использовать на любом количестве устройств. Программисты вольны взять код программы и делать с ним все, что захотят, а затем распространить его среди знакомых. Это так, потому что такие программы распространяются по свободным лицензиям, например, лицензии Massachusetts Institute of Technology (MIT).
По данным Google, ИТ-инструмент уже помог предотвратить эксплуатацию уязвимости SQLite (CVE-2025-6965), обнаружив ее до того, как появились реальные кибератаки. Это подтверждает потенциал масштабной защиты как для open-source, так и для внутренних ИТ-систем компании. С развитием ИИ-инструментов команда Project Zero станет лучше защищать цифровую инфраструктуру на ранних этапах угроз.
Как работает Big Sleep
Как пишет TechCrunch со ссылкой на заявление в X вице-президента Google по безопасности Хизера Адкинса (Heather Adkins), Big Sleep работает в несколько этапов. ИИ-система сканирует код, обнаруживает потенциальные проблемы и пытается автоматически воспроизвести ИТ-уязвимость. Затем сервер безопасности Project Zero проверяет результаты, оценивает серьезность, уточняет детали и только после этого официально сообщает найденные баги разработчикам ИТ-проектов. Со слов эксперта, такой подход обеспечивает надежность и точность в условиях масштабного анализа open-source экосистемы.
Хизер Адкинс отметил, что в августе 2025 г. это один из первых примеров, когда ИИ-технологии действительно помогают выявлять ранее неизвестные киберугрозы. Такой ИТ-инструмент значительно ускоряет поиск багов и снижает нагрузку на ИТ-специалистов, что особенно ценно для open-source проектов с большим объемом кода и ограниченными ресурсами для обеспечения безопасности. Big Sleep демонстрирует, что ИИ становится ключевым фактором не только в аналитике, но и в системной защите ПО.
Мнения экспертов
Вице-президент Google по инженерии Роял Хансен (Royal Hansen) назвал ИИ-систему безопасности от Google прорывом в автоматизированном поиске ИТ-уязвимостей. При этом Big Sleep — не единственный подобный ИТ-инструмент, ведь в 2025 г. на рынке уже действуют и другие ИИ-системы, такие как RunSybil и XBOW. Последний, в частности, занимает верхние позиции в рейтинге ИТ-платформы специализирующейся на поиске уязвимостей HackerOne.
Сооснователь и технический директор RunSybil Влад Ионеску (Vlad Ionescu) высоко оценил Big Sleep, как серьезный и хорошо продуманный ИТ-проект, созданный опытными разработчиками. Однако он указал на нарастающую проблему: некоторые ИИ-системы создают ложные отчеты, имитирующие реальные ИТ-уязвимости. По его словам, программисты все чаще сталкиваются с убедительными на первый взгляд сообщениями, которые на деле не отражают настоящих ошибок. Это явление он охарактеризовал как цифровой мусор в сфере Bug Bounty т.е. программ вознаграждения за обнаружение ИТ-уязвимостей.
Автоматизации поиска багов
Автоматизированное тестирование — это метод проверки ПО, при котором используются ИТ-инструменты и фреймворки для многократного выполнения одинаковых тест-кейсов. Основное отличие от ручного тестирования заключается в том, что последнее полностью зависит от действий человека за компьютером, тогда как автоматизированные тесты создаются один раз и могут многократно выполняться практически без участия человека.
По некоторым оценкам, тестирование софта может составлять до 60% от общей стоимости ИТ-проекта. Не секрет, что автоматизация тестирования на начальном этапе обходится дороже ручного, поскольку требует привлечения высококвалифицированных ИТ-специалистов по автоматизации и сложных ИТ-инструментов для настройки процесса.
Однако благодаря возможности повторного использования тестов и другим преимуществам, автоматизация тестирования позволяет экономить средства в долгосрочной перспективе. Поэтому она идеально подходит для масштабных и долгосрочных проектов, тогда как ручное тестирование лучше применять для небольших и краткосрочных задач.
Квалифицированная команда ручных тестировщиков может значительно повысить качество программного продукта. Однако ручное тестирование требует значительных человеческих ресурсов, так как каждый тест создается, выполняется, документируется и проверяется вручную. Это означает, что у ручных тестировщиков всегда будет большой объем работы, независимо от размера команды.
Автоматизация тестирования оптимизирует использование человеческих ресурсов. Хотя специалисты по автоматизации могут быть дороже в найме, один такой специалист способен выполнять работу нескольких ручных QA-инженеров, что делает его привлечение выгодной инвестицией.
Короткая ссылка
