Pemburu bug berbasis AI milik Google temukan 20 kerentanan keamanan

  Sistem pemburu bug berbasis kecerdasan buatan (Artificial Intelligence/AI) milik Google baru saja melaporkan kumpulan kerentanan keamanan pertama yang ditemukan

Wakil Presiden Bidang Keamanan Google Heather Adkins pada Senin (4/8) menyampaikan bahwa peneliti kerentanan berbasis model bahasa besar (Large Language Model/LLM) Big Sleep telah menemukan dan melaporkan 20 celah keamanan pada berbagai perangkat lunak sumber terbuka populer.​​​​​​​

Adkins menyebutkan bahwa Big Sleep, yang dikembangkan oleh divisi AI Google, DeepMind, bersama tim elit peretas Project Zero, melaporkan temuan kerentanan pertamanya terutama pada perangkat lunak sumber terbuka seperti pustaka audio dan video FFmpeg serta perangkat penyunting gambar ImageMagick.

Menurut siaran TechCrunch pada Senin (4/8), Google belum mengungkapkan detail dampak atau tingkat keparahannya karena kerentanan tersebut belum diperbaiki. Ini merupakan prosedur standar sambil menunggu perbaikan bug dilakukan.

Meski demikian, temuan Big Sleep dinilai signifikan, karena menunjukkan alat ini mulai memberikan hasil nyata, meskipun dalam kasus ini tetap melibatkan manusia.

"Untuk memastikan laporan yang berkualitas tinggi dan dapat ditindaklanjuti, kami melibatkan pakar manusia sebelum melaporkan, namun setiap kerentanan ditemukan dan direproduksi oleh agen AI tanpa intervensi manusia," kata juru bicara Google Kimberly Samra kepada TechCrunch.

Wakil Presiden Bidang Teknik Google Royal Hansen menyampaikan di platform X bahwa temuan Big Sleep menunjukkan "era baru dalam penemuan kerentanan otomatis."

Alat bertenaga LLM yang mampu mencari dan menemukan kerentanan sudah menjadi kenyataan. Selain Big Sleep, juga ada RunSybil dan XBOW di antaranya.​​​​​​​

XBOW sempat menjadi sorotan setelah menduduki peringkat teratas di salah satu papan peringkat Amerika Serikat di platform bug bounty HackerOne.

Perlu dicatat bahwa dalam banyak kasus, laporan ini tetap melibatkan manusia di salah satu tahap proses untuk memverifikasi bahwa temuan AI benar-benar kerentanan yang sah sebagaimana dalam penggunaan Big Sleep.​​​​​​​​​​​​​​

Vlad Ionescu, salah satu pendiri dan kepala teknologi RunSybil -- sebuah perusahaan rintisan pengembang pemburu bug berbasis AI -- menyebut Big Sleep sebagai proyek dengan legitimasi karena punya desain baik, tim berpengalaman dalam menemukan bug lewat Project Zero, serta kekuatan sumber daya dari DeepMind.

Meski menjanjikan, teknologi ini juga memiliki kelemahan signifikan. Beberapa pengelola proyek perangkat lunak mengeluhkan laporan bug yang ternyata hasil "halusinasi" AI, sebagian menyebutnya setara dengan "AI slop" di dunia bug bounty.

Berkenaan dengan hal itu, Ionescu sebelumnya mengatakan kepada TechCrunch, "Itu masalah yang dihadapi orang, kami menerima banyak laporan yang terlihat seperti emas, tetapi sebenarnya hanya sampah."