Un descobriment que desperta vigilància
Google ha presentat oficialment Big Sleep, un sistema d’intel·ligència artificial desenvolupat per DeepMind i l’equip de seguretat Project Zero, especialitzat en ciberseguretat ofensiva. En la seva primera prova de camp, aquesta eina va escanejar per si sola milers de línies de codi i va aconseguir detectar 20 errors de seguretat en programes de codi obert que s’utilitzen de manera massiva en aplicacions i serveis a tot el món. Així ho va confirmar Heather Adkins, vicepresidenta de seguretat de Google.
Com fa olor de perill: la lògica interna de Big Sleep
El motor de Big Sleep utilitza models de llenguatge avançat (LLM), inclòs Gemini, per simular el comportament de possibles atacants. Pot reproduir vulnerabilitats sense intervenció humana, però abans d’emetre un informe, un expert en seguretat revisa cada troballa. Així s’assegura precisió i es redueixen els falsos positius.
Promeses en codi obert i més enllà
El sistema va identificar errors en projectes com FFmpeg i ImageMagick, dues biblioteques essencials que permeten a milers d’aplicacions processar fitxers multimèdia. Aquests errors podrien haver permès l’execució de codi maliciós amb només carregar un fitxer compromès. A més, Big Sleep va detectar una vulnerabilitat crítica en SQLite (CVE-2025-6965), una base de dades integrada en navegadors, aplicacions mòbils i sistemes operatius. Aquesta debilitat ja estava sent explotada de manera activa per atacants, i la IA va aconseguir identificar-la i aturar-la abans que escalés a major escala.
Dades, revisió i responsabilitat: la cadena sota lupa
Encara que l’agent opera amb autonomia per detectar i reproduir errors, Google aclareix que un humà sempre valida l’informe final. La confidencialitat tècnica es manté fins que els pegats estiguin disponibles. Google ha publicat els detalls tècnics de les vulnerabilitats descobertes per Big Sleep en el seu Issue Tracker. No obstant això, molts dels errors encara no han rebut identificadors CVE, el sistema estandarditzat per catalogar vulnerabilitats a nivell global. Aquesta decisió permet mantenir sota control l’exposició pública dels errors mentre s’implementen els pegats corresponents.
Una tensió latent: or o «slop» d’IA?
Altres projectes similars, com RunSybil i XBOW, han alertat sobre informes que semblen valuosos però resulten ser falsos. Vlad Ionescu, cofundador de RunSybil, valora a Big Sleep com un projecte sòlid, encara que adverteix que moltes troballes generades per IA poden ser «AI slop»: dades escombraries disfressades de descobriments.
Comparativa amb altres eines del sector
Big Sleep no és un cas aïllat. Eines com XBOW ja havien demostrat la seva eficàcia en plataformes de caça de bugs com HackerOne. Però la combinació de DeepMind (IA avançada) i Project Zero (seguretat d’elit) posiciona a Big Sleep com un actor amb pes propi. La supervisió humana continua sent la clau per separar el soroll del senyal.
Un futur vigilat per agents intel·ligents
Google veu en Big Sleep un nou model per enfortir la seguretat de projectes oberts i sistemes crítics. En alliberar recursos humans per a tasques més estratègiques, aspiren a una defensa digital mediada per IA. En paral·lel, desenvolupen altres eines com Timesketch i FACADE, i impulsen aliances globals per fomentar una IA segura i confiable.
Obre un parèntesi en les teves rutines. Subscriu-te a la nostra newsletter i posa’t al dia en tecnologia, IA i mitjans de comunicació.
