Google heeft met zijn AI-gestuurde kwetsbaarheden-detector Big Sleep twintig tot nu toe onbekende beveiligingslekken gevonden in veelgebruikte open source software, waaronder FFmpeg en ImageMagick.Â
De ontdekkingen komen voort uit een samenwerking tussen Google DeepMind en de beveiligingsafdeling Project Zero. De details van de kwetsbaarheden blijven voorlopig vertrouwelijk vanwege de gebruikelijke disclosureprocedures. Alle gevonden problemen in open source zullen uiteindelijk via een publieke issue tracker worden gedeeld, zodat de ontwikkelgemeenschap ze kan verifiëren en verhelpen.
De aankondiging volgt op een eerdere doorbraak dit jaar, toen Big Sleep een kritieke zero-day in SQLite opspoorde voordat cybercriminelen deze konden misbruiken. Het betrof een bug met een CVSS-score van 7,2 die voortkwam uit geheugenÂcorruptie door integer-overflows, waardoor kwaadaardige SQL-invoer buiten arraygrenzen kon lezen.
Ondanks jaren van traditioneel fuzzingonderzoek en handmatige code-inspecties was de kwetsbaarheid aan onderzoekers ontsnapt. Google’s Threat Intelligence-team had al signalen gezien van voorbereidend misbruik, maar wist de kernoorzaak niet te achterhalen. Big Sleep slaagde daar wel in en wist zo mogelijk misbruik in de praktijk te voorkomen. Volgens Google is dit de eerste keer dat een AI-agent direct heeft verhinderd dat een kwetsbaarheid werd uitgebuit.
In zijn zomerupdate gaf Google aan dat Big Sleep sinds de introductie in november 2024 meerdere reële kwetsbaarheden heeft gevonden, wat de potentie van AI in kwetsbaarheidsonderzoek onderstreept. Tegelijkertijd breidt het bedrijf zijn andere AI-ondersteunde beveiligingstools uit.
Nieuwe functies voor Timesketch en FACADE
Zo krijgt Timesketch, een open sourceplatform voor digitale forensische onderzoeken, nieuwe mogelijkheden via Sec-Gemini. Daarmee kan de initiële incidentanalyse grotendeels worden geautomatiseerd, wat forensisch onderzoekers kostbare tijd bespaart. Ook onthulde Google FACADE, een methode die met contrastive learning interne dreigingen kan detecteren zonder dat historische aanvalsinformatie nodig is.
Naast technologische vernieuwingen richt Google zich op verantwoord AI-ontwerp. In een white paper beschrijft het bedrijf hoe AI-agents veilig en transparant kunnen worden gebouwd, met menselijke supervisie, bescherming van privacy en toepassing van secure-by-design-principes.
Google sluit zich bovendien aan bij de Coalition for Secure AI, waarin publieke en private partijen samenwerken om AI-toepassingen op een veilige manier te ontwikkelen. Hierbij stelt Google data beschikbaar uit het Secure AI Framework om onderzoek naar veilige AI te versnellen.
Om ook nieuwe dreigingen aan te pakken, is het Vulnerability Rewards Program uitgebreid met categorieën die specifiek zijn voor grote taalmodellen, zoals prompt injection en training data-exfiltratie. In het eerste jaar werd ruim vijftigduizend dollar uitgekeerd voor AI-gerelateerde kwetsbaarheden, waarbij één op de zes meldingen leidde tot aanpassingen in producten.
Volgende maand presenteert Google op DEF CON 33 samen met DARPA de finale van de AI Cyber Challenge, waarin teams AI inzetten om open source software veiliger te maken.