Google presentó los primeros resultados de Big Sleep, su IA especializada en encontrar vulnerabilidades. La herramienta, desarrollada en conjunto con DeepMind, descubrió 20 fallos de seguridad en varios programas de código abierto. Aunque Google ha omitido los detalles, esta es la primera vez que la empresa utiliza una IA para detectar y reproducir cada vulnerabilidad.
De acuerdo con TechCrunch, la IA de Google descubrió 20 vulnerabilidades en herramientas y aplicaciones de código abierto. Los fallos de seguridad, publicados en la herramienta de seguimiento de errores de la empresa, afectan al editor de imágenes ImageMagick, algunas bibliotecas de FFmpeg, el motor JavaScript QuickJS y Redis, un almacén de datos en memoria RAM.
Las vulnerabilidades están calificadas por su nivel de impacto y todas han sido detectadas por la IA. Google añadió una breve descripción en cada una, especificando que fue trabajo de Big Sleep y que se ha notificado al proveedor para solucionarla lo antes posible. La compañía restringió los detalles debido a su política de divulgación, que otorga un plazo de 90 días al fabricante antes de hacer pública la información.
“Hoy, como parte de nuestro compromiso con la transparencia en este espacio, nos enorgullece anunciar que hemos informado las primeras 20 vulnerabilidades descubiertas utilizando nuestro sistema ‘Big Sleep’ basado en IA impulsado por Gemini”, dijo Heather Adkins, vicepresidenta de seguridad en Google.
Si bien se requiere una revisión humana antes de reportar oficialmente, Google confirmó que su IA descubrió y validó cada fallo sin intervención humana. “Nuestro agente de IA descubrió una serie de vulnerabilidades en software ampliamente utilizado y analizado, lo que demuestra una nueva frontera en el descubrimiento automatizado de vulnerabilidades”, añadió Royal Hansen, jefe de ingeniería de Google.
Así funciona Big Sleep, la IA basada en Gemini que descubre fallos de seguridad
Big Sleep es un agente de IA desarrollado en conjunto por DeepMind y Project Zero, el equipo de hackers de Google. Según la compañía, esta herramienta puede ayudar a los investigadores de seguridad a encontrar vulnerabilidades de día cero en software popular, principalmente en proyectos de código abierto.
En una publicación de blog, Project Zero mencionó que Big Sleep utiliza análisis de variantes asistido por LLMs para detectar fallos que podrían pasar desapercibidos por técnicas habituales.
Para conseguirlo, el agente se alimenta con datos sobre vulnerabilidades corregidas. Posteriormente, el modelo revisa el código actualizado en busca de patrones similares que puedan originar nuevos fallos. Una vez que descubre un problema, el sistema llevará a cabo una validación dentro de un entorno de prueba y reportará los hallazgos.
Los ingenieros de Project Zero señalaron que Big Sleep puede identificar bugs antes de que se lance el software, lo que ayudaría a parchear las vulnerabilidades antes de que los atacantes tengan acceso a ellas. Además, puede detectar variantes de vulnerabilidades que se escapan de las pruebas automatizadas, como el fuzzing.
Previo al hallazgo de hoy, Big Sleep logró encontrar un fallo en SQLite antes de publicar la versión oficial. El agente de IA descubrió un subflujo de búfer de pila explotable en el motor de base de datos de código abierto. Tras recibir el reporte, los desarrolladores lo solucionaron el mismo día, antes de que se ofreciera una versión al público.
