Le géant américain a annoncé que son nouvel outil d’intelligence artificielle, baptisé Big Sleep, a identifié 20 vulnérabilités dans des logiciels open source populaires. Une avancée prometteuse pour la cybersécurité, même si elle ne va pas sans controverses.
Une première salve de bugs repérés par l’IA de Google
Google vient de franchir un cap majeur dans l’usage de l’intelligence artificielle pour la cybersécurité. Ce lundi, Heather Adkins, vice-présidente de la sécurité chez Google, a révélé que Big Sleep, un outil développé par l’entreprise, a découvert 20 failles de sécurité dans divers logiciels open source largement utilisés.
Parmi les cibles identifiées par cet agent intelligent figurent notamment la bibliothèque multimédia FFmpeg et la suite de traitement d’images ImageMagick, deux piliers de l’univers open source.
Un projet mené par DeepMind et Project Zero
Ce nouvel outil de détection est le fruit d’une collaboration entre DeepMind, la branche IA de Google, et Project Zero, l’équipe d’élite spécialisée dans la chasse aux failles informatiques. Selon Google, il s’agit des premières vulnérabilités officiellement signalées par Big Sleep.
Même si les détails techniques des failles n’ont pas été dévoilés — conformément à la politique de Google tant que les correctifs ne sont pas publiés —, leur simple découverte marque un tournant. Elle montre que les agents IA sont désormais capables d’identifier de vraies failles, de manière autonome… ou presque.
“To ensure high quality and actionable reports, we have a human expert in the loop before reporting, but each vulnerability was found and reproduced by the AI agent without human intervention,”
— Kimberly Samra, porte-parole de Google, à TechCrunch.
L’intelligence artificielle au service de la cybersécurité
La performance de Big Sleep s’inscrit dans une tendance plus large. D’autres outils similaires émergent, comme RunSybil ou XBOW, eux aussi capables de détecter automatiquement des vulnérabilités dans des programmes informatiques.
XBOW a d’ailleurs récemment fait parler de lui en atteignant les sommets du classement américain de HackerOne, une plateforme de « bug bounty » qui récompense la détection de failles de sécurité.
Sur les réseaux sociaux, Royal Hansen, vice-président de l’ingénierie chez Google, a salué cette évolution comme “une nouvelle frontière dans la découverte automatisée de vulnérabilités”.
De belles promesses… mais des résultats à manier avec prudence
Si ces outils alimentent de grands espoirs, certains développeurs restent sceptiques. Plusieurs mainteneurs de logiciels affirment recevoir des signalements erronés, issus d’hallucinations de l’IA, et dénoncent une forme de “bruit” numérique inutile.
“That’s the problem people are running into, is we’re getting a lot of stuff that looks like gold, but it’s actually just crap,”
— Vlad Ionescu, cofondateur et CTO de RunSybil, à TechCrunch.
Malgré tout, Ionescu reconnaît le sérieux de Big Sleep, saluant la qualité de son design et l’expertise combinée de Project Zero et DeepMind :
“Big Sleep is a legit project, given that it has good design, people behind it know what they’re doing, Project Zero has the bug finding experience and DeepMind has the firepower and tokens to throw at it.”
Une révolution en marche
L’intégration de l’intelligence artificielle dans la détection de failles n’en est qu’à ses débuts, mais les premiers résultats sont déjà là. Même si l’intervention humaine reste indispensable pour valider les découvertes, des agents comme Big Sleep pourraient bien devenir les alliés incontournables des experts en sécurité informatique dans les années à venir.
GIPHY App Key not set. Please check settings