গ্রেগোএআই নামের একটি কৃত্রিম বুদ্ধিমত্তা কোম্পানি তাদের সফটওয়্যার স্বয়ংক্রিয়ভাবে একটি গুরুত্বপূর্ণ নিরাপত্তা ত্রুটি আবিষ্কার করার পর $২৫০,০০০ বাগ বাউন্টি পেয়েছে। এই অর্থপ্রদান একটি মেশিনের দ্বারা আবিষ্কৃত একক দুর্বলতার জন্য দেওয়া সবচেয়ে বড় পুরস্কারগুলির মধ্যে একটি, যা স্বয়ংক্রিয় হ্যাকিংয়ে একটি মাইলফলক চিহ্নিত করে।
সিস্টেমটি কীভাবে কাজ করে
গ্রেগোএআই-এর প্ল্যাটফর্ম সরাসরি মানুষের ইনপুট ছাড়াই চলে। এটি অ্যাপ্লিকেশন এবং সিস্টেম স্ক্যান করে সম্ভাব্য দুর্বলতা খুঁজে বের করে, তারপর সেই দুর্বলতাগুলোকে কার্যকর এক্সপ্লয়েটে রূপান্তরিত করার চেষ্টা করে। সেই এক্সপ্লয়েট রিপোর্টই প্রভাবিত প্রতিষ্ঠানের বাগ বাউন্টি প্রোগ্রামে জমা দেওয়া হয়। প্রতিষ্ঠানটি আবিষ্কারটি যাচাই করে এবং পুরস্কার প্রদান করে।
কোম্পানিটি বাগটি ধারণকারী পণ্যের নাম বা বাউন্টি প্রদানকারী প্রতিষ্ঠানের নাম প্রকাশ করেনি। যা জানা যায় তা হল পরিমাণ: $২৫০,০০০। বাগ বাউন্টি জগতে, এটি এই আবিষ্কারকে অভিজাত স্তরে স্থান দেয়। বেশিরভাগ পুরস্কার কয়েকশ থেকে কয়েক হাজার ডলারের মধ্যে হয়। ছয় অঙ্কের বাউন্টি বিরল এবং সাধারণত এমন বাগগুলির জন্য সংরক্ষিত যা একজন আক্রমণকারীকে একটি ডিভাইস দখল করতে বা সংবেদনশীল ডেটা চুরি করতে দিতে পারে।
স্বায়ত্তশাসিত বনাম মানব গবেষক
প্রথাগত দুর্বলতা শিকার মানুষের দ্বারা করা হয় যারা ম্যানুয়ালি কোড পরীক্ষা করে, ডিবাগার চালায় এবং প্রান্তিক ক্ষেত্র পরীক্ষা করে। এতে সময় এবং দক্ষতা লাগে। স্বায়ত্তশাসিত সিস্টেম ভিন্নভাবে কাজ করে। তারা ক্লান্তি ছাড়াই ক্রমাগত চলতে পারে, লক্ষ লক্ষ ইনপুট পরীক্ষা করতে পারে। গ্রেগোএআই-এর সিস্টেম প্রতিটি পরীক্ষা থেকে শেখার জন্য ডিজাইন করা হয়েছে, যাতে এটি অনুসন্ধানের সময় আরও স্মার্ট হয়।
কোম্পানিটি তার পদ্ধতির প্রযুক্তিগত বিবরণ প্রকাশ করেনি, তবে অনুরূপ সিস্টেম প্রায়শই ফাজিং — একটি প্রোগ্রামে এলোমেলো ডেটা নিক্ষেপ করে ক্র্যাশ ট্রিগার করা — এর সাথে মেশিন লার্নিং মডেল যুক্ত করে যা ভবিষ্যদ্বাণী করে যে বাগগুলি কোথায় লুকিয়ে থাকতে পারে। সিস্টেমটি একটি সম্ভাব্য ত্রুটি খুঁজে পেলে, এটি একটি এক্সপ্লয়েট তৈরি করার চেষ্টা করে যা বাগটির তীব্রতা প্রদর্শন করে। এই প্রদর্শনী উচ্চ বাউন্টি জেতার জন্য চাবিকাঠি।
$২৫০,০০০ বাগ সম্পর্কে কী বলে
বাগ বাউন্টি প্রোগ্রামগুলি গুগল, মাইক্রোসফট, অ্যাপল এবং আরও অনেক কোম্পানি দ্বারা পরিচালিত হয়। প্রতিটির নিজস্ব অর্থপ্রদানের স্কেল রয়েছে। $২৫০,০০০ অর্থপ্রদান ইঙ্গিত দেয় যে দুর্বলতাটি গুরুতর হিসাবে বিবেচিত হয়েছিল, সম্ভবত রিমোট কোড এক্সিকিউশন বা সম্পূর্ণ সিস্টেম আপস করার অনুমতি দেয়। একটি স্বায়ত্তশাসিত সিস্টেম এটি খুঁজে পেয়েছে তা প্রস্তাব করে যে এই জাতীয় সিস্টেমগুলি এখন উচ্চ-মূল্যের লক্ষ্যগুলিতে মানব গবেষকদের সাথে মেলে বা তাদের ছাড়িয়ে যেতে সক্ষম।
গ্রেগোএআই-এর জন্য, বাউন্টিটি একটি ধারণার প্রমাণ হিসাবে কাজ করে। কোম্পানিটি সম্ভবত স্বায়ত্তশাসিত প্ল্যাটফর্ম বিকাশে প্রচুর বিনিয়োগ করেছে। এই অর্থপ্রদান দেখায় যে পদ্ধতিটি কেবল একাডেমিক আগ্রহ নয়, বাস্তব রাজস্ব তৈরি করতে পারে।
নিরাপত্তা দৃশ্যপটের জন্য এর অর্থ কী
স্বয়ংক্রিয় এক্সপ্লয়েট আবিষ্কার দুর্বলতা প্রকাশের গতিশীলতা পরিবর্তন করতে পারে। যদি মেশিনগুলি মানুষের চেয়ে দ্রুত গুরুতর বাগ খুঁজে পায়, তবে সফটওয়্যার বিক্রেতারা প্রতিবেদনের ঢেউ দেখতে পারে। এটি দ্রুত প্যাচ করার ক্ষমতাকে চাপ দিতে পারে, তবে এর অর্থ হল কম বাগ দীর্ঘ সময় ধরে সনাক্ত না হয়ে থাকে।
$২৫০,০০০ বাউন্টি অন্যান্য স্বায়ত্তশাসিত নিরাপত্তা সংস্থাগুলির জন্য বাজি বাড়িয়ে তোলে। বেশ কয়েকটি স্টার্টআপ একই ধরনের প্রযুক্তি তৈরি করছে। গ্রেগোএআই-এর অর্থপ্রদান একটি স্পষ্ট সংকেত যে বাজার মেশিন-আবিষ্কৃত এক্সপ্লয়েটগুলিকে মানব-আবিষ্কৃতগুলির সমান স্তরে মূল্য দেয়।
পরবর্তী প্রশ্ন হল কতগুলি এই জাতীয় বাউন্টি অনুসরণ করবে। গ্রেগোএআই বলেছে না যে এটি তার সিস্টেমকে বিস্তৃত ব্যবহারের জন্য স্কেল করতে চায় নাকি একা শিকার চালিয়ে যেতে চায়। কিন্তু শিল্পটি নজর রাখছে। একটি একক $২৫০,০০০ অর্থপ্রদান বিপ্লব তৈরি করে না, তবে এটি প্রমাণ করে যে মেশিনটি সেই ধরনের বাগ খুঁজে পেতে পারে যা নিরাপত্তা দলকে রাতে জাগিয়ে রাখে।
