Snilld

Google AI bug hunter opdager 20 sikkerhedssårbarheder i open source-projekter

Google har offentliggjort, at deres AI-baserede bug hunter Big Sleep har identificeret 20 sikkerhedssårbarheder i centrale open source-projekter. Alvorligheden af fejlene er endnu ukendt, og Google tilbageholder detaljer, indtil fejlen er rettet. Artiklen forklarer, hvad det betyder for danske virksomheder – og hvordan AI kan integreres ansvarligt i sikkerhedsarbejdet.

5. august 2025 Peter Munkholm

Google har netop offentliggjort, at deres AI-drevne bug hunter, Big Sleep, har identificeret 20 hidtil ukendte sikkerhedssårbarheder i en række centrale open source-projekter. Det er første gang, at et system baseret på large language models (LLM) fra Google – udviklet i samarbejde mellem DeepMind og Project Zero – har leveret konkrete resultater i praksis. For danske virksomheder og organisationer, der bruger open source-komponenter, peger det på, at AI nu kan få direkte indflydelse på software-sikkerheden.

Opdagelser i FFmpeg og ImageMagick – men ingen detaljer før sikkerheden er på plads

Blandt de berørte projekter er de udbredte biblioteker FFmpeg og ImageMagick, som ligger bag mange streaming-løsninger, medieplatforme og software til billed- og lydbehandling. Sårbarhederne er endnu ikke udbedret. I tråd med branchestandard holder Google og de relevante open source-projekter detaljer om fejlene tilbage indtil fejlen er rettet, for at forhindre udnyttelse af sårbarhederne. Det betyder samtidig, at hverken alvorlighedsgraden eller den præcise effekt af de fundne fejl er offentliggjort på nuværende tidspunkt. Google har udelukkende oplyst, at Big Sleep har identificeret fejlene, ikke hvor kritiske de er.

Til den første tredjedel af artiklen om Googles AI-drevne bug hunter, Big Sleep, kan jeg forestille mig et dramatisk billede af en computerarbejdsstation, hvor en specialist analyserer data på en skærm, der viser komplekse koder samt grafiske visualiseringer af sikkerhedssårbarheder. Kompositionen vil fokusere på den intense koncentration i specialistens ansigt og de farverige diagrammer, som fremhæver den teknologiske kunnen bag Big Sleep. Billedet er taget med en Canon EOS R5, udstyret med en RF 85mm f/1.2-linse, med en blændeåbning på f/2.8 for at skabe en blød baggrundsunskarphed, der trækker blikket mod motivet. Den blålige belysning fra skærmene giver en futuristisk stemning, der komplementerer AI-tematikken i artiklen. Dette visuelle greb vil både fange interessen hos teknikentusiaster og underbygge artikelens kernepoint om AIs indflydelse på cybersikkerhed. Billedet skal indsendes ubehandlet, men kan redigeres for at justere kontrast og farvetone, så den teknologiske ambiance fremhæves yderligere.

Menneskelig validering afgørende for kvaliteten

Selvom Big Sleep selv har fundet og genskabt fejlene, bliver alle rapporter gennemgået og valideret af erfarne specialister, før de sendes videre. Ifølge Googles talskvinde Kimberly Samra bliver der altid sat en menneskelig ekspert på, før fejlene rapporteres. AI fungerer derfor som et avanceret værktøj, men det endelige ansvar ligger stadig hos mennesker – en praksis, der stemmer overens med, hvad vi hos Snilld anbefaler i arbejdet med automatiseret sikkerhed.

Flere AI-baserede bug hunters – og diskussion om hallucinerede fejlrapporter

Big Sleep er ikke alene på markedet. Andre AI-drevne bug hunters som RunSybil og XBOW har allerede vist sig på bug bounty-platforme som HackerOne, hvor XBOW eksempelvis har opnået topplaceringer. Det viser potentialet for AI-baserede værktøjer, men også de udfordringer de bringer: Flere projektansvarlige rapporterer om såkaldte “hallucinationer”, altså fejlrapporter hvor AI’en har opfundet problemer, der slet ikke eksisterer. Vlad Ionescu, CTO i RunSybil, kalder det “noget, der ligner guld, men er ubrugeligt slagger” og understreger, at menneskelig vurdering er nødvendig for at sortere reelle fund fra støj.

Branchevurderinger: Big Sleep ses som seriøst projekt – men ikke alle er enige

Blandt eksperter vurderes Big Sleep som et seriøst projekt, blandt andet på grund af sammenkoblingen af DeepMinds AI-kompetencer og Project Zeros erfaring med sårbarhedsjagt. Vlad Ionescu peger på, at “folkene bag ved, hvad de laver”. Det skal dog pointeres, at vurderingen især stammer fra enkeltpersoner og ikke nødvendigvis er konsensus i branchen – kvaliteten af AI-fund varierer fortsat fra projekt til projekt.

Til denne artikel vil et billede af Google’s AI-baserede bug hunter, Big Sleep, i aktion fungere perfekt. Billedet kunne fange en skærm med grafiske repræsentationer af kodefejl og relevante sikkerhedsnotifikationer, der vises i en moderne, stilren arbejdsmiljø, fyldt med teknologisk udstyr. Kompositionen bør udnytte det gyldne snit for at træde ind i det centrale fokusområde, hvor koden og dens visuelle repræsentation fanger beskuerens opmærksomhed. Dette visuelle indtryk vil kommunikere den dybe forbindelse mellem AI og software-sikkerhed, og hvordan disse to elementer omslutter nutidens teknologi. Kameraudstyret til dette billede kunne omfatte en Canon EOS R5 med en 24-70mm f/2.8L linse. Indstillingerne ville være ISO 200, blænde f/4 for at sikre skarphed i hele billedet, og en eksponeringstid på 1/60 sekund for at undgå bevægelsesuskarphed. Lysugsætningen vil inkludere et blødt LED-lys, der belyser skærmen og skaber kontrast til det mørke omgivende rum, samt en lavere klarhed på baggrunden for at holde f

Hvad betyder AI-baseret bug hunting for danske virksomheder?

For virksomheder, der anvender open source, viser Googles fund nødvendigheden af at forholde sig aktivt til automatiseret sårbarhedsjagt. Mange danske organisationer benytter biblioteker som FFmpeg og ImageMagick uden at være opmærksomme på deres sikkerhedstilstand. Med AI-værktøjer som Big Sleep kan fejl nu identificeres hurtigere og potentielt mere systematisk end før. Det kan på sigt reducere både risici og ressourceforbruget ved manuel kodegennemgang – men kun hvis AI-resultaterne bliver vurderet af specialister.

Banner

Sådan kan virksomheder konkret implementere AI-baseret sårbarhedsjagt

  • Start med at afprøve AI-baserede bug hunters i et begrænset pilotprojekt, hvor resultaterne evalueres grundigt af interne eller eksterne eksperter.
  • Integrér AI-scanning som supplement til eksisterende sikkerhedsprocesser – eksempelvis i CI/CD-pipelines, så koden løbende bliver analyseret.
  • Uddan både it- og sikkerhedsteams i at forstå og anvende AI-assisterede rapporter, så de kan sortere mellem reelle fund og falske positiver.
  • Opbyg governance-strukturer, der sikrer ansvarlig brug af AI og systematisk opfølgning på alle fund.

Snillds erfaringer og anbefalinger

Baseret på vores erfaring hos Snilld ser vi AI som et værdifuldt supplement, men ikke en erstatning for manuel sikkerhedsgennemgang. Vi anbefaler, at automatiseret scanning altid kombineres med menneskelig vurdering og risikovurdering. Vores rådgivning er, at AI-baserede værktøjer indføres gradvist og kontrolleret, så virksomheder kan høste gevinsterne uden at drukne i støj fra falske positiver eller miste overblikket over sikkerheden. Det er også afgørende, at brugen af AI sker i overensstemmelse med virksomhedens modenhed, branchekrav og eksisterende governance.

Automatiseringens faldgruber kræver governance

Debatten om hallucinerede fejlrapporter understreger, at AI uden menneskelig kontrol kan føre til mere forvirring end sikkerhed. Virksomheder, der arbejder med compliance eller håndterer følsomme data, bør have klare procedurer for validering af AI-fund. Vores erfaring er, at de bedste resultater skabes, når AI-værktøjer kombineres med grundig manuel opfølgning, så både reelle sårbarheder identificeres, og støj minimeres.

Markedet vokser hurtigt – konkurrenter rykker på AI-sikkerhed

Googles lancering er kun begyndelsen. Microsoft arbejder blandt andet med lignende AI-værktøjer baseret på deres Security Copilot-løsning, mens OpenAI samarbejder med sikkerhedsfirmaer om at træne modeller til sårbarhedsjagt. Uafhængige start-ups som RunSybil og XBOW er allerede i markedet, og tempoet betyder, at virksomheder løbende skal opdatere både værktøjer og processer. For vores kunder vurderer vi løbende, hvornår og hvordan nye AI-løsninger giver mest værdi.

Banner

Hvilke fejl kan AI fange – og hvor halter teknologien?

AI-baserede bug hunters har særligt vist potentiale i at identificere mønstre og fejl, som kan overses ved manuel gennemgang, fx komplekse inputvalideringsfejl eller uventede kombinationer af kode. Omvendt har AI stadig svært ved at vurdere kontekstafhængige risici og forstå forretningslogik, hvilket gør, at manuel vurdering ikke kan spares væk.

Vigtige pointer for ledere og beslutningstagere

  • AI-assisteret scanning kan identificere fejl, som traditionelle værktøjer ofte overser, men kræver menneskelig validering.
  • Integration i CI/CD og eksisterende processer kan gøre sikkerhedsarbejdere mere effektive.
  • Regelmæssig opfølgning med eksperter forebygger falske positiver og sikrer, at reelle problemer bliver håndteret.

Snillds budskab: AI giver forspring – men kræver omtanke

AI-baseret sårbarhedsjagt er ikke længere science fiction, men praktisk virkelighed. For at få reel effekt kræves investering i både teknologi, kompetencer og governance. Vi står klar til at hjælpe, hvis du vil vide mere om, hvordan AI kan styrke din virksomheds sikkerhed og robusthed – med garanti for, at ingen AI-genererede fejlrapporter sendes videre, før de har været igennem et menneskeligt kvalitetstjek. Vi er jo trods alt ikke robotter – endnu.

Kilder:

 

Målgruppens mening om artiklen

Martin Holm, Software Engineer:

Jeg synes denne artikel er meget interessant, fordi den omhandler AIs evne til at finde sårbarheder i software, som er relevant for mit arbejde. Dog kunne jeg godt tænke mig flere tekniske detaljer om, hvordan Big Sleep finder disse sårbarheder. Samlet set vil jeg give den en score på 75.

Laura Thomsen, Operation Manager:

Artiklen er interessant, fordi den viser, hvordan AI kan forbedre sikkerhedsprocesser, hvilket er noget, jeg overvejer at implementere i min virksomhed. Jeg sætter pris på fokus på menneskelig validering af AI-resultater. Jeg ville gerne have set mere om, hvordan danske virksomheder konkret kan drage fordel af dette. Min score vil være 70.

Peter Hansen, Produktionschef:

Artiklen giver en god indsigt i, hvordan AI kan implementeres i bug hunting processer, hvilket stemmer overens med min interesse i teknologisk innovation. Jeg savner dog information om risikoen forbundet med AI-hallucinationer i denne kontekst. Min vurdering er 65.

Jakob Pedersen, Senior Financial Analyst:

Det er en fascinerende artikel, der belyser, hvordan AI moderne kan anvendes. Artiklen kunne dog være mere detaljeret omkring de økonomiske implikationer af at implementere sådanne AI-løsninger. Jeg vil give artiklen en score på 67.

Henrik Madsen, Digitaliseringsekspert:

Jeg synes, at artikelens fokus på automatiseret sårbarhedsjagt er meget relevant og tiltalende, især med fokus på CI/CD-pipelines. Manglen på specifikke tekniske detaljer gør det dog lidt mindre anvendeligt for specialister. Min score er 72.


*Denne artiklen er skrevet af en redaktion bestående af kunstig intelligenser, der har skrevet artiklen på baggrund af automatiseret research og oplysninger om de seneste teknologi nyheder fra internettet.

Billederne i artiklen er lavet af Fluxx Schnell fra Black Forest Labs.

Book Din AI-Booster Samtale


– Ingen Tekniske Forudsætninger Påkrævet!

Er du nysgerrig på, hvad generativ AI er og hvordan AI kan løfte din virksomhed? Book en gratis og uforpligtende 30 minutters online samtale med vores AI-eksperter. Du behøver ingen teknisk viden – blot en computer eller telefon med internetforbindelse.

I samtalen kigger vi på dine muligheder og identificerer, hvor AI kan optimere jeres arbejdsprocesser og skabe værdi. Det er helt uden bindinger, og vi tilpasser rådgivningen til lige præcis jeres behov.

Fordele ved samtalen:

  • Samtalen handler om dig og dine behov
  • Indblik i AIs potentiale for din virksomhed
  • Konkrete idéer til effektivisering af dine processer
  • Personlig rådgivning uden teknisk jargon

Det handler om at skabe værdi for dig

    Gør brugeroplevelsen bedre.
    Hvilket firma arbejder du for?