Récemment, Heather Adkins, vice-présidente de la sécurité chez Google, a annoncé lors d'un événement que Big Sleep, un chercheur en vulnérabilités alimenté par l'intelligence artificielle, avait découvert et signalé 20 vulnérabilités de sécurité dans plusieurs logiciels open source populaires.
Ces vulnérabilités se trouvent principalement dans des bibliothèques de traitement audio et vidéo comme FFmpeg et dans des logiciels de traitement d'images comme ImageMagick. Big Sleep a été développé conjointement par le département d'intelligence artificielle de Google, DeepMind, et par l'équipe de pirates informatiques d'élite de Google, Project Zero.
Bien que ces vulnérabilités ne soient pas encore corrigées, Google n’a actuellement pas fourni d’informations détaillées sur l’impact ou la gravité spécifique de ces vulnérabilités. Cette discrétion est une pratique courante pendant la période d’attente de la correction. Cependant, le fait que Big Sleep ait découvert ces vulnérabilités revêt une importance particulière, marquant ainsi l’apparition d’effets concrets des outils de détection de sécurité basés sur l’intelligence artificielle.
Kimberly Samra, porte-parole de Google, a déclaré que pour garantir la qualité et la faisabilité des rapports de vulnérabilités, l’équipe introduit une vérification par des experts humains avant la publication du rapport. Toutefois, chaque découverte et reproduction de vulnérabilité est effectuée par l'intelligence artificielle sans intervention humaine. Royal Hansen, vice-président ingénierie de Google, a souligné sur la plateforme de réseaux sociaux X que cette découverte marque une « nouvelle avancée dans le domaine de la découverte automatique de vulnérabilités », ce qui indique que les outils basés sur des modèles linguistiques à grande échelle (LLM) sont désormais capables de reconnaître efficacement et de découvrir des vulnérabilités de sécurité.
Au-delà de Big Sleep, Google a également développé d'autres chasseurs de vulnérabilités basés sur l'intelligence artificielle, tels que RunSybil et XBOW. XBOW s'est distingué sur la plateforme de récompenses pour vulnérabilités HackerOne et a attiré l'attention des médias. Cependant, lors de la signalement des vulnérabilités, de nombreux mainteneurs de projets ont affirmé qu'ils recevaient parfois des rapports erronés qui n'étaient pas réels, les appelant même « du spam d'intelligence artificielle pour les programmes de récompense de vulnérabilités ». Malgré ces problèmes, Vlad Ionescu, co-fondateur et directeur technique de RunSybil, a insisté sur le fait que Big Sleep est un projet « légitime », soutenu par l'équipe expérimentée de Project Zero et par le puissant groupe DeepMind derrière lui.
En somme, cet avancement démontre le potentiel de l'intelligence artificielle dans le domaine de la cybersécurité, bien que certaines lacunes soient également exposées, nécessitant des améliorations continues à l'avenir.
Points clés :
🌐 Big Sleep a réussi à découvrir 20 vulnérabilités de sécurité, principalement présentes dans des logiciels open source comme FFmpeg et ImageMagick.
🔍 Les outils d'intelligence artificielle connaissent de nouveaux progrès dans le domaine de la découverte de vulnérabilités, montrant leur potentiel d'application pratique.
👥 La vérification humaine assure la qualité des rapports, l'intelligence artificielle nécessite toujours l'implication et la validation d'experts humains.