IA da Google descobre 20 falhas de segurança em software open-source

Big Sleep, o novo investigador de vulnerabilidades baseado em modelos de linguagem da Google, identificou 20 falhas em projetos de código aberto, segundo anunciou a empresa.

Deteção automatizada com validação humana

Desenvolvido pela equipa DeepMind em conjunto com os especialistas do Project Zero, o sistema analisou bibliotecas amplamente utilizadas, como FFmpeg e ImageMagick. Cada vulnerabilidade foi encontrada e reproduzida autonomamente pela ferramenta, mas teve de passar por uma revisão de um analista antes de ser comunicada aos responsáveis pelos projetos.

Divulgação limitada até à correção

Dados técnicos sobre o impacto ou a gravidade das falhas ainda não foram divulgados. A Google mantém a informação restrita enquanto aguarda a disponibilização de correções, prática habitual no setor para reduzir riscos de exploração prematura.

Novo passo na procura automática de falhas

Para Royal Hansen, vice-presidente de engenharia da Google, as descobertas demonstram «uma nova fronteira» na investigação automatizada de vulnerabilidades. Ferramentas semelhantes, como RunSybil e XBOW, já competem em programas de recompensas por bugs, mas continuam a recorrer a especialistas para confirmar resultados e evitar falsos positivos.

Imagem: techcrunch.com

Vlad Ionescu, cofundador da RunSybil, considera o projeto da Google tecnicamente sólido, salientando a combinação da experiência do Project Zero com os recursos de computação da DeepMind.

Apesar dos avanços, vários mantenedores de software admitem receber relatórios gerados por IA que se revelam imprecisos, sublinhando a necessidade de supervisão humana. A Google realça precisamente esse controlo adicional para garantir qualidade e utilidade dos relatórios emitidos pelo Big Sleep.