Google har netop offentliggjort, at deres AI-drevne bug hunter, Big Sleep, har identificeret 20 hidtil ukendte sikkerhedssårbarheder i en række centrale open source-projekter. Det er første gang, at et system baseret på large language models (LLM) fra Google – udviklet i samarbejde mellem DeepMind og Project Zero – har leveret konkrete resultater i praksis. For danske virksomheder og organisationer, der bruger open source-komponenter, peger det på, at AI nu kan få direkte indflydelse på software-sikkerheden.
Opdagelser i FFmpeg og ImageMagick – men ingen detaljer før sikkerheden er på plads
Blandt de berørte projekter er de udbredte biblioteker FFmpeg og ImageMagick, som ligger bag mange streaming-løsninger, medieplatforme og software til billed- og lydbehandling. Sårbarhederne er endnu ikke udbedret. I tråd med branchestandard holder Google og de relevante open source-projekter detaljer om fejlene tilbage indtil fejlen er rettet, for at forhindre udnyttelse af sårbarhederne. Det betyder samtidig, at hverken alvorlighedsgraden eller den præcise effekt af de fundne fejl er offentliggjort på nuværende tidspunkt. Google har udelukkende oplyst, at Big Sleep har identificeret fejlene, ikke hvor kritiske de er.

Menneskelig validering afgørende for kvaliteten
Selvom Big Sleep selv har fundet og genskabt fejlene, bliver alle rapporter gennemgået og valideret af erfarne specialister, før de sendes videre. Ifølge Googles talskvinde Kimberly Samra bliver der altid sat en menneskelig ekspert på, før fejlene rapporteres. AI fungerer derfor som et avanceret værktøj, men det endelige ansvar ligger stadig hos mennesker – en praksis, der stemmer overens med, hvad vi hos Snilld anbefaler i arbejdet med automatiseret sikkerhed.
Flere AI-baserede bug hunters – og diskussion om hallucinerede fejlrapporter
Big Sleep er ikke alene på markedet. Andre AI-drevne bug hunters som RunSybil og XBOW har allerede vist sig på bug bounty-platforme som HackerOne, hvor XBOW eksempelvis har opnået topplaceringer. Det viser potentialet for AI-baserede værktøjer, men også de udfordringer de bringer: Flere projektansvarlige rapporterer om såkaldte “hallucinationer”, altså fejlrapporter hvor AI’en har opfundet problemer, der slet ikke eksisterer. Vlad Ionescu, CTO i RunSybil, kalder det “noget, der ligner guld, men er ubrugeligt slagger” og understreger, at menneskelig vurdering er nødvendig for at sortere reelle fund fra støj.
Branchevurderinger: Big Sleep ses som seriøst projekt – men ikke alle er enige
Blandt eksperter vurderes Big Sleep som et seriøst projekt, blandt andet på grund af sammenkoblingen af DeepMinds AI-kompetencer og Project Zeros erfaring med sårbarhedsjagt. Vlad Ionescu peger på, at “folkene bag ved, hvad de laver”. Det skal dog pointeres, at vurderingen især stammer fra enkeltpersoner og ikke nødvendigvis er konsensus i branchen – kvaliteten af AI-fund varierer fortsat fra projekt til projekt.

Hvad betyder AI-baseret bug hunting for danske virksomheder?
For virksomheder, der anvender open source, viser Googles fund nødvendigheden af at forholde sig aktivt til automatiseret sårbarhedsjagt. Mange danske organisationer benytter biblioteker som FFmpeg og ImageMagick uden at være opmærksomme på deres sikkerhedstilstand. Med AI-værktøjer som Big Sleep kan fejl nu identificeres hurtigere og potentielt mere systematisk end før. Det kan på sigt reducere både risici og ressourceforbruget ved manuel kodegennemgang – men kun hvis AI-resultaterne bliver vurderet af specialister.

Sådan kan virksomheder konkret implementere AI-baseret sårbarhedsjagt
- Start med at afprøve AI-baserede bug hunters i et begrænset pilotprojekt, hvor resultaterne evalueres grundigt af interne eller eksterne eksperter.
- Integrér AI-scanning som supplement til eksisterende sikkerhedsprocesser – eksempelvis i CI/CD-pipelines, så koden løbende bliver analyseret.
- Uddan både it- og sikkerhedsteams i at forstå og anvende AI-assisterede rapporter, så de kan sortere mellem reelle fund og falske positiver.
- Opbyg governance-strukturer, der sikrer ansvarlig brug af AI og systematisk opfølgning på alle fund.
Snillds erfaringer og anbefalinger
Baseret på vores erfaring hos Snilld ser vi AI som et værdifuldt supplement, men ikke en erstatning for manuel sikkerhedsgennemgang. Vi anbefaler, at automatiseret scanning altid kombineres med menneskelig vurdering og risikovurdering. Vores rådgivning er, at AI-baserede værktøjer indføres gradvist og kontrolleret, så virksomheder kan høste gevinsterne uden at drukne i støj fra falske positiver eller miste overblikket over sikkerheden. Det er også afgørende, at brugen af AI sker i overensstemmelse med virksomhedens modenhed, branchekrav og eksisterende governance.
Automatiseringens faldgruber kræver governance
Debatten om hallucinerede fejlrapporter understreger, at AI uden menneskelig kontrol kan føre til mere forvirring end sikkerhed. Virksomheder, der arbejder med compliance eller håndterer følsomme data, bør have klare procedurer for validering af AI-fund. Vores erfaring er, at de bedste resultater skabes, når AI-værktøjer kombineres med grundig manuel opfølgning, så både reelle sårbarheder identificeres, og støj minimeres.
Markedet vokser hurtigt – konkurrenter rykker på AI-sikkerhed
Googles lancering er kun begyndelsen. Microsoft arbejder blandt andet med lignende AI-værktøjer baseret på deres Security Copilot-løsning, mens OpenAI samarbejder med sikkerhedsfirmaer om at træne modeller til sårbarhedsjagt. Uafhængige start-ups som RunSybil og XBOW er allerede i markedet, og tempoet betyder, at virksomheder løbende skal opdatere både værktøjer og processer. For vores kunder vurderer vi løbende, hvornår og hvordan nye AI-løsninger giver mest værdi.

Hvilke fejl kan AI fange – og hvor halter teknologien?
AI-baserede bug hunters har særligt vist potentiale i at identificere mønstre og fejl, som kan overses ved manuel gennemgang, fx komplekse inputvalideringsfejl eller uventede kombinationer af kode. Omvendt har AI stadig svært ved at vurdere kontekstafhængige risici og forstå forretningslogik, hvilket gør, at manuel vurdering ikke kan spares væk.
Vigtige pointer for ledere og beslutningstagere
- AI-assisteret scanning kan identificere fejl, som traditionelle værktøjer ofte overser, men kræver menneskelig validering.
- Integration i CI/CD og eksisterende processer kan gøre sikkerhedsarbejdere mere effektive.
- Regelmæssig opfølgning med eksperter forebygger falske positiver og sikrer, at reelle problemer bliver håndteret.
Snillds budskab: AI giver forspring – men kræver omtanke
AI-baseret sårbarhedsjagt er ikke længere science fiction, men praktisk virkelighed. For at få reel effekt kræves investering i både teknologi, kompetencer og governance. Vi står klar til at hjælpe, hvis du vil vide mere om, hvordan AI kan styrke din virksomheds sikkerhed og robusthed – med garanti for, at ingen AI-genererede fejlrapporter sendes videre, før de har været igennem et menneskeligt kvalitetstjek. Vi er jo trods alt ikke robotter – endnu.
Kilder:
- https://techcrunch.com/2025/08/04/google-says-its-ai-based-bug-hunter-found-20-security-vulnerabilities/
- https://techcrunch.com/2025/08/04/google-says-its-ai-based-bug-hunter-found-20-security-vulnerabilities/
- https://googleprojectzero.blogspot.com/2024/10/from-naptime-to-big-sleep.html
- https://techcrunch.com/2025/08/04/google-says-its-ai-based-bug-hunter-found-20-security-vulnerabilities/
- https://www.gov.uk/government/publications/research-on-the-cyber-security-of-ai/cyber-security-risks-to-artificial-intelligence
- https://support.apple.com/en-us/100100
Målgruppens mening om artiklen
Martin Holm, Software Engineer:
Jeg synes denne artikel er meget interessant, fordi den omhandler AIs evne til at finde sårbarheder i software, som er relevant for mit arbejde. Dog kunne jeg godt tænke mig flere tekniske detaljer om, hvordan Big Sleep finder disse sårbarheder. Samlet set vil jeg give den en score på 75.
Laura Thomsen, Operation Manager:
Artiklen er interessant, fordi den viser, hvordan AI kan forbedre sikkerhedsprocesser, hvilket er noget, jeg overvejer at implementere i min virksomhed. Jeg sætter pris på fokus på menneskelig validering af AI-resultater. Jeg ville gerne have set mere om, hvordan danske virksomheder konkret kan drage fordel af dette. Min score vil være 70.
Peter Hansen, Produktionschef:
Artiklen giver en god indsigt i, hvordan AI kan implementeres i bug hunting processer, hvilket stemmer overens med min interesse i teknologisk innovation. Jeg savner dog information om risikoen forbundet med AI-hallucinationer i denne kontekst. Min vurdering er 65.
Jakob Pedersen, Senior Financial Analyst:
Det er en fascinerende artikel, der belyser, hvordan AI moderne kan anvendes. Artiklen kunne dog være mere detaljeret omkring de økonomiske implikationer af at implementere sådanne AI-løsninger. Jeg vil give artiklen en score på 67.
Henrik Madsen, Digitaliseringsekspert:
Jeg synes, at artikelens fokus på automatiseret sårbarhedsjagt er meget relevant og tiltalende, især med fokus på CI/CD-pipelines. Manglen på specifikke tekniske detaljer gør det dog lidt mindre anvendeligt for specialister. Min score er 72.
*Denne artiklen er skrevet af en redaktion bestående af kunstig intelligenser, der har skrevet artiklen på baggrund af automatiseret research og oplysninger om de seneste teknologi nyheder fra internettet.
Billederne i artiklen er lavet af Fluxx Schnell fra Black Forest Labs.
Book Din AI-Booster Samtale
– Ingen Tekniske Forudsætninger Påkrævet!
Er du nysgerrig på, hvad generativ AI er og hvordan AI kan løfte din virksomhed? Book en gratis og uforpligtende 30 minutters online samtale med vores AI-eksperter. Du behøver ingen teknisk viden – blot en computer eller telefon med internetforbindelse.
I samtalen kigger vi på dine muligheder og identificerer, hvor AI kan optimere jeres arbejdsprocesser og skabe værdi. Det er helt uden bindinger, og vi tilpasser rådgivningen til lige præcis jeres behov.
Fordele ved samtalen:
- Samtalen handler om dig og dine behov
- Indblik i AIs potentiale for din virksomhed
- Konkrete idéer til effektivisering af dine processer
- Personlig rådgivning uden teknisk jargon
Det handler om at skabe værdi for dig