Google a récemment signalé sa première série de vulnérabilités de sécurité via un chasseur de bugs alimenté par l’IA. Heather Adkins, vice-présidente de la sécurité de Google, a annoncé que Big Sleep, un chercheur de vulnérabilités basé sur LLM, a trouvé et signalé 20 failles dans divers logiciels open source populaires. Ces vulnérabilités, découvertes principalement dans des logiciels open source tels que FFmpeg et ImageMagick, n’ont pas encore été corrigées, donc les détails sur leur impact et leur gravité ne sont pas disponibles pour le moment, Google préférant attendre que les correctifs soient appliqués avant de les divulguer. Néanmoins, le fait que Big Sleep ait identifié ces vulnérabilités est significatif, montrant ainsi que ces outils commencent à obtenir des résultats réels, même s’ils ont été vérifiés par un expert humain avant d’être signalés.
D’après Kimberly Samra, porte-parole de Google, chaque vulnérabilité a été trouvée et reproduite par l’agent IA sans intervention humaine, bien qu’un expert humain vérifie les rapports pour assurer leur qualité et leur pertinence avant leur signalement. Royal Hansen, vice-président de l’ingénierie de Google, a qualifié ces découvertes de « nouvelle frontière dans la découverte automatisée de vulnérabilités ». Des outils alimentés par LLM qui peuvent rechercher et trouver des vulnérabilités sont déjà une réalité, avec des projets tels que RunSybil et XBOW.
XBOW a récemment atteint le sommet du classement d’une plateforme de chasse aux bugs aux États-Unis, HackerOne, attirant ainsi l’attention. Il est important de noter que dans la plupart des cas, il y a une vérification humaine à un moment donné pour confirmer que le chasseur de bugs alimenté par l’IA a bien identifié une vulnérabilité légitime, comme c’est le cas avec Big Sleep. Vlad Ionescu, co-fondateur et directeur de la technologie de RunSybil, a déclaré que Big Sleep est un projet légitime avec un bon design, soutenu par des experts de Project Zero et de DeepMind.
Ces outils présentent certainement des avantages prometteurs, mais aussi des inconvénients significatifs. Certains mainteneurs de projets logiciels ont signalé des rapports de bugs qui se sont avérés être des hallucinations, qualifiant cela d’équivalent de l’IA d’un travail bâclé. Selon Ionescu, de nombreux rapports sont trompeurs et ne sont pas fiables. En résumé, ces outils d’IA offrent de nouvelles possibilités dans la chasse aux bugs, mais nécessitent encore une certaine vérification humaine pour garantir la fiabilité des résultats.