新媒网 · 跨境数据社区

新媒网跨境获悉，谷歌公司于2025年5月宣布，其人工智能漏洞检测工具在首次实战中识别出20个安全漏洞。谷歌安全副总裁希瑟·阿德金斯（Heather Adkins）在公开声明中确认，这款名为Big Sleep的AI工具基于大语言模型（LLM）技术开发，主要针对主流开源软件进行了漏洞扫描。

根据谷歌披露的信息，此次发现的漏洞涉及多个广泛使用的开源项目，包括音视频处理库FFmpeg和图像编辑套件ImageMagick。漏洞识别工作由谷歌旗下DeepMind人工智能实验室与内部黑客团队Project Zero联合完成。由于相关漏洞尚未完成修复，谷歌遵循标准漏洞披露政策，暂未公开具体的技术细节和危害等级。

谷歌发言人金伯利·萨姆拉（Kimberly Samra）向外媒TechCrunch说明："为确保报告质量与可操作性，我们在提交报告前设置了人工专家审核环节，但每个漏洞均由AI自主发现并复现，无需人工干预。"谷歌工程副总裁罗亚尔·汉森（Royal Hansen）在社交平台X上表示，该成果标志着"自动化漏洞发现领域的新突破"。

市场洞察：AI安全工具发展现状

当前全球科技企业正加速布局AI驱动的漏洞挖掘领域。除谷歌Big Sleep外，RunSybil、XBOW等同类工具已进入实际应用阶段。据HackerOne漏洞赏金平台2025年第一季度数据显示，XBOW曾在美国区漏洞发现排行榜登顶。新媒网跨境注意到，此类工具普遍采用"AI识别+人工验证"的运作模式，以平衡效率与准确性。

RunSybil联合创始人兼首席技术官弗拉德·约内斯库（Vlad Ionescu）接受外媒采访时评价，Big Sleep项目具有技术可行性："其设计架构合理，开发团队具备专业背景，Project Zero拥有丰富的漏洞挖掘经验，DeepMind则提供强大的算力支持。"该评论发布于2025年4月。

行业争议与挑战

随着AI漏洞扫描工具的普及，开源社区面临新的挑战。2025年第二季度，多个开源项目维护者反映收到大量无效漏洞报告，其中部分属于AI工具产生的"幻觉"结果。约内斯库此前指出："当前行业痛点在于，大量看似有价值的报告实为无效信息。"这种现象被部分从业者类比为漏洞赏金领域的"AI垃圾信息"。

新媒网跨境观察到，技术社区对AI漏洞检测工具的可靠性仍存在分歧。支持方强调其在处理海量代码时的效率优势，反对方则担忧误报率过高可能加剧开发者的工作负担。目前行业共识认为，人工验证环节仍是保障漏洞报告质量的关键控制点。

新媒网（公号: 新媒网跨境发布），是一个专业的跨境电商、游戏、支付、贸易和广告社区平台，为百万跨境人传递最新的海外淘金精准资讯情报。

本文来源：新媒网 https://nmedialink.com/posts/10194.html