Pada 4 Agustus 2025, Google mengumumkan bahwa alat berbasis AI mereka—di kenal sebagai Big Sleep, hasil kolaborasi antara tim DeepMind dan Project Zero—telah berhasil mendeteksi dan melaporkan 20 kerentanan keamanan dalam berbagai perangkat lunak open‑source populer, seperti FFmpeg dan ImageMagick.
Big Sleep mampu:
-
Menemukan dan mereproduksi setiap kelemahan secara otomatis,
-
Meskipun setiap hasil tetap di verifikasi secara manusia sebelum di laporkan secara resmi.
VP Keamanan Heather Adkins menyatakan hal tersebut di platform X sebagai bagian dari komitmen transparansi Google dalam keamanan siber.
⚙️ Bagaimana Big Sleep Bekerja?
Big Sleep menggunakan model bahasa besar (LLM) untuk menelusuri kode secara mendalam dan otomatis, menemukan jalur kode yang belum di uji sebelumnya oleh metode tradisional seperti fuzzing manual. Ini menunjukkan bahwa AI tidak hanya sebagai alat bantu, tetapi dapat menjadi peneliti kerentanan otonom.
Beberapa hal menarik:
-
Peluncuran pertamanya terhadap kerentanan nyata terjadi pada akhir 2024, yakni sebuah stack buffer underflow di SQLite, sebelum versi resmi di rilis.
-
Google sejak itu secara aktif mengintegrasikan AI dalam OSS‑Fuzz untuk meningkatkan cakupan pengujian dan triase otomatis.
🌍 Dampak dan Implikasi
-
Menggugah batasan lama bahwa AI dapat menemukan kerentanan yang melewati deteksi manusia, termasuk bug yang telah tersembunyi bertahun‑tahun.
-
Menandai era baru dalam deteksi keamanan: otomatis, lebih cepat, dan semakin akurat.
-
Namun, tantangan juga muncul: banyak laporan yang di hasilkan AI di anggap sebagai “AI slop” alias tidak valid atau hasil halusinasi, menurut beberapa pengelola proyek open‑source.
🔜 Langkah Selanjutnya dari Google
-
Google akan melakukan technical briefing resmi pada acara Black Hat USA dan DEF CON 33, yang akan memperlihatkan detail teknik operasional Big Sleep.
-
Data pelatihan yang di anonimkan dari Big Sleep akan di donasikan ke Secure AI Framework (SAIF) agar komunitas riset dapat memanfaatkannya untuk keamanan bersama.
-
Google juga memperluas cakupan Vulnerability Rewards Program (VRP) untuk mencakup ancaman khusus generative AI seperti prompt injection, model manipulation, dan ekstraksi data dari model .
📌 Ringkasan
| Topik | Penjelasan |
|---|---|
| Alat AI | Big Sleep — gabungan DeepMind & Project Zero |
| Jumlah kerentanan | 20 kerentanan di temukan di open source |
| Proses validasi | Temuan AI di reproduksi secara otomatis, lalu di verifikasi manusia |
| Built‑in policy | Data celah belum di publikasikan hingga 90 hari untuk memberi waktu patch |
| Agenda ke depan | Presentasi di konferensi keamanan besar & integrasi AI ke VRP dan SAIF |