حصلت شركة ذكاء اصطناعي تُدعى GregoAI على مكافأة اكتشاف ثغرات بقيمة 250,000 دولار بعد أن وجد برنامجها بشكل ذاتي استغلالًا أمنيًا خطيرًا. تُعد هذه الدفعة واحدة من أكبر المكافآت التي تُمنح على الإطلاق لثغرة واحدة يكتشفها جهاز، مما يمثل علامة فارقة في مجال الاختراق الآلي.
كيف يعمل النظام
منصة GregoAI تعمل دون تدخل بشري مباشر. تفحص التطبيقات والأنظمة بحثًا عن نقاط ضعف محتملة، ثم تحاول تحويل تلك النقاط إلى استغلالات عملية. يُقدَّم تقرير الاستغلال هذا إلى برنامج مكافأة الثغرات الخاص بالمؤسسة المتضررة. وقد تحققت المؤسسة من الاكتشاف وأصدرت المكافأة.
لم تذكر الشركة اسم المنتج الذي احتوى على الثغرة أو المؤسسة التي دفعت المكافأة. المعروف هو المبلغ: 250,000 دولار. في عالم مكافآت الثغرات، يضع هذا الاكتشاف في نطاق النخبة. تتراوح معظم المكافآت بين بضع مئات إلى بضعة آلاف من الدولارات. المكافآت ذات الستة أرقام نادرة وتُحجز عادةً للثغرات التي قد تسمح للمهاجم بالسيطرة على جهاز أو سرقة بيانات حساسة.
الباحثون الذاتيون مقابل الباحثون البشريون
صيد الثغرات التقليدي يقوم به أشخاص يفحصون الكود يدويًا، ويشغلون أدوات التصحيح، ويختبرون الحالات الحدية. يتطلب ذلك وقتًا وخبرة. الأنظمة الذاتية تعمل بشكل مختلف. يمكنها العمل باستمرار، واختبار ملايين المدخلات دون تعب. نظام GregoAI مصمم للتعلم من كل اختبار، ليصبح أكثر ذكاءً كلما استكشف.
لم تنشر الشركة تفاصيل تقنية عن منهجها، لكن الأنظمة المماثلة غالبًا ما تجمع بين التشويش — قصف البرنامج ببيانات عشوائية لإحداث أعطال — ونماذج تعلم آلي تتنبأ بالأماكن الأكثر احتمالية لاختباء الثغرات. بمجرد أن يجد النظام ثغرة محتملة، يحاول صياغة استغلال يوضح خطورة الثغرة. هذا التوضيح هو المفتاح للفوز بمكافأة عالية.
ماذا يقول مبلغ 250,000 دولار عن الثغرة
برامج مكافآت الثغرات تُدار بواسطة شركات مثل Google وMicrosoft وApple وغيرها الكثير. لكل منها مقياس دفع خاص به. دفعة بقيمة 250,000 دولار تشير إلى أن الثغرة اعتُبرت حرجة، ربما تسمح بتنفيذ أوامر عن بُعد أو اختراق كامل للنظام. حقيقة أن نظامًا ذاتيًا وجدها تشير إلى أن هذه الأنظمة أصبحت الآن قادرة على مجاراة أو تجاوز الباحثين البشر في الأهداف عالية القيمة.
بالنسبة لـ GregoAI، تُعد المكافأة إثباتًا للمفهوم. من المحتمل أن الشركة استثمرت بكثافة في تطوير المنصة الذاتية. هذه الدفعة تُظهر أن النهج يمكن أن يولد إيرادات حقيقية، وليس مجرد اهتمام أكاديمي.
ماذا يعني هذا لمشهد الأمن السيبراني
اكتشاف الاستغلالات الآلي قد يغير ديناميكيات الإفصاح عن الثغرات. إذا كانت الآلات قادرة على العثور على ثغرات حرجة أسرع من البشر، فقد يشهد بائعو البرامج تدفقًا في التقارير. قد يضغط ذلك على قدرتهم على إصدار التصحيحات بسرعة، لكنه يعني أيضًا أن عددًا أقل من الثغرات يظل غير مكتشف لفترات طويلة.
مكافأة 250,000 دولار ترفع أيضًا الرهان لشركات الأمن الذاتية الأخرى. العديد من الشركات الناشئة تبني تقنية مماثلة. دفعة GregoAI هي إشارة واضحة على أن السوق يقدر الاستغلالات التي تكتشفها الآلات بنفس مستوى تلك التي يكتشفها البشر.
السؤال التالي هو كم عدد هذه المكافآت التي ستتبعها. لم تعلن GregoAI عما إذا كانت تخطط لتوسيع نطاق نظامها للاستخدام الأوسع أو الاستمرار في الصيد بمفردها. لكن الصناعة تراقب. دفعة واحدة بقيمة 250,000 دولار لا تُحدث ثورة، لكنها تثبت أن الآلة يمكنها العثور على النوع من الثغرات الذي يبقي فرق الأمن مستيقظة في الليل.
