Google says its AI-based bug hunter found 20 security vulnerabilities | TechCrunch
Googleは、AIを活用したバグハンター「Big Sleep」が、人気のオープンソースソフトウェアにおいて20件のセキュリティ脆弱性を発見したと発表しました。
この発表は2025年8月4日に行われ、Googleのセキュリティ担当副社長であるHeather Adkins氏が発表しました。
Big Sleepは、GoogleのAI部門であるDeepMindと、エリートハッカーチームであるProject Zeroによって開発されたもので、主にFFmpegやImageMagickといったソフトウェアに脆弱性を見つけました。
現在、これらの脆弱性はまだ修正されていないため、その影響や深刻度についての詳細は公開されていません。
Googleは、バグが修正されるまで詳細を公開しない方針を取っていますが、Big Sleepが脆弱性を発見したこと自体は重要な進展とされています。
Googleの広報担当者であるKimberly Samra氏は、「高品質で実行可能な報告を確保するために、人間の専門家が報告前に関与していますが、各脆弱性はAIエージェントによって人間の介入なしに発見され、再現されました」と述べています。
Googleのエンジニアリング担当副社長Royal Hansen氏は、これらの発見が「自動化された脆弱性発見の新たなフロンティア」を示しているとコメントしました。
AIを活用した脆弱性発見ツールはすでに現実のものとなっており、Big Sleepの他にもRunSybilやXBOWなどのツールが存在します。
ただし、これらのツールには期待が寄せられる一方で、いくつかの問題も指摘されています。
特に、ソフトウェアプロジェクトの管理者からは、実際には存在しない脆弱性を報告する「幻覚」報告が増えているとの声も上がっています。
RunSybilの共同創設者であるVlad Ionescu氏は、「多くの報告が金のように見えるが、実際には無価値なものが多い」と述べています。
このように、AIを活用した脆弱性発見ツールは、セキュリティ分野において新たな可能性を開く一方で、信頼性や報告の質に関する課題も抱えています。今後の進展が注目されます。
