Le chasseur de bogues propulsé par Google, Big Sleep, développé par DeepMind et Project Zero, a identifié 20 vulnérabilités de sécurité dans les logiciels open source, marquant son reportage public initial de défauts.
Aujourd’hui, dans le cadre de notre engagement envers la transparence dans cet espace, nous sommes fiers d’annoncer que nous avons signalé les 20 premières vulnérabilités découvertes en utilisant notre IA basé sur l’IA "Sommeil" Système propulsé par les Gémeaux – https://t.co/0sgplazqaq
– Heather Adkins – ꜻ – SPES CONSILIUM NON Est (@argvee) 4 août 2025
Heather Adkins, vice-présidente de la sécurité de Google, a révélé lundi que Big Sleep, un chercheur en vulnérabilité basé sur LLM, a détecté ces défauts dans diverses applications logicielles à source ouverte populaires. Les vulnérabilités identifiées ont principalement un impact sur les systèmes tels que FFMPEG, une bibliothèque audio et vidéo, et ImageMagick, une suite d’édition d’image. Les détails concernant l’impact ou la gravité spécifique de ces vulnérabilités n’ont pas été publiés en raison du protocole standard de retenue des informations de retenue de Google jusqu’à la mise en œuvre des correctifs.
Kimberly Samra, un porte-parole de Google, a clarifié le processus impliqué dans ces découvertes. Samra a déclaré: «Pour assurer des rapports de haute qualité et exploitables, nous avons un expert humain dans la boucle avant de signaler, mais chaque vulnérabilité a été trouvée et reproduite par l’agent d’IA sans intervention humaine.» Cette procédure confirme que bien que la vérification humaine se produise, la détection initiale et la reproduction de la vulnérabilité sont effectuées de manière autonome par l’agent d’IA.
Royal Hansen, vice-président de l’ingénierie de Google, a qualifié ces résultats de démontrer «une nouvelle frontière dans la découverte automatisée de vulnérabilité» dans un article sur X. Big Sleep n’est pas le seul outil alimenté par LLM conçu pour la détection de vulnérabilité; D’autres exemples notables incluent RunSybil et XBow.
XBow a attiré l’attention pour atteindre la position supérieure dans un classement américain dans la plate-forme Bug Bounty Hackerone. Semblable au grand sommeil, bon nombre de ces chasseurs de bogues alimentés par l’IA intègrent une étape de vérification humaine pour confirmer la légitimité des vulnérabilités détectées. Vlad Ionescu, co-fondateur et directeur de la technologie chez Runsybil, une startup spécialisée dans les chasseurs de bogues propulsés par l’IA, a décrit le grand sommeil comme un projet «légitime». Il a attribué cette évaluation à sa «bonne conception, les gens derrière lui savent ce qu’ils font, Project Zero a l’expérience de recherche de bogues et Deepmind a la puissance de feu et les jetons à lancer.»
Bien que le potentiel de ces outils d’IA pour identifier les défauts de sécurité soit évident, il existe également des inconvénients. Plusieurs responsables de divers projets logiciels ont rapporté avoir reçu des rapports de bogues qui sont ensuite identifiés comme des hallucinations, entraînant des parallèles avec «SLAP AI» dans le contexte des primes de bogues. Ionnescu avait précédemment commenté cette question, déclarant: «C’est le problème que les gens rencontrent, c’est que nous obtenons beaucoup de choses qui ressemblent à de l’or, mais c’est en fait juste de la merde.»
