Desenvolvido pelo departamento de Inteligência Artificial (IA) da Google, o Big Sleep, um “caçador de bugs”, reportou as suas primeiras vulnerabilidades, principalmente em software open source.
O vice-presidente de segurança da Google, Heather Adkins, anunciou que o seu “caçador de bugs” baseado em grandes modelos de linguagem (em inglês, LMM) encontrou e relatou 20 falhas em vários softwares open source populares, como a biblioteca de áudio e vídeo FFmpeg e a suite de edição de imagens ImageMagick.
De nome Big Sleep, o detetor de vulnerabilidades foi desenvolvido pelo departamento de IA da Google, DeepMind, bem como pela sua equipa de hackers Project Zero.
Para garantir relatórios de alta qualidade e acionáveis, temos um especialista humano envolvido antes de reportar, mas cada vulnerabilidade foi encontrada e reproduzida pelo agente de IA sem intervenção humana.
Contou a porta-voz da Google, Kimberly Samra, ao TechCrunch, justificando a ausência de detalhes sobre o impacto ou a gravidade das vulnerabilidades detetadas.
Apesar disso, o facto de o Big Sleep ter encontrado as vulnerabilidades é importante, pois mostra que este tipo de ferramentas estão a começar a obter resultados reais – mesmo que tenha havido um humano envolvido neste caso.
Today as part of our commitment to transparency in this space, we are proud to announce that we have reported the first 20 vulnerabilities discovered using our AI-based “Big Sleep” system powered by Gemini — https://t.co/0sgPlazqaq
— Heather Adkins – Ꜻ – Spes consilium non est (@argvee) August 4, 2025
Para Royal Hansen, vice-presidente de engenharia da Google, numa publicação no X, as descobertas demonstram “uma nova fronteira na descoberta automatizada de vulnerabilidades”.
Relatórios de bugs podem ser alucinações
Além do Big Sleep, existem já outras ferramentas baseadas em LLM que podem procurar e encontrar vulnerabilidades. Exemplo disto é a XBOW, bem como a RunSybil, uma startup que desenvolve “caçadores de bugs” com IA.
O cofundador e diretor de tecnologia desta última, Vlad Ionescu, disse que o Big Sleep é um projeto “legítimo”, dado que tem “um bom design, as pessoas por trás dele sabem o que estão a fazer, o Project Zero tem experiência na deteção de bugs e a DeepMind tem o poder e os recursos para investir nele”.
Ainda que promissoras, as ferramentas têm desvantagens, como fornecer relatórios de bugs que são, na verdade, alucinações: “Esse é o problema que as pessoas estão a enfrentar, estamos a receber muitas coisas que parecem ouro, mas, na verdade, são apenas lixo”, segundo Vlad Ionescu.
Leia também: