Wie das System funktioniert
Die Plattform von GregoAI läuft ohne direkten menschlichen Eingriff. Sie scannt Anwendungen und Systeme auf potenzielle Schwachstellen und versucht dann, diese Schwachstellen in funktionsfähige Exploits umzuwandeln. Dieser Exploit-Bericht wird dann beim Bug-Bounty-Programm der betroffenen Organisation eingereicht. Die Organisation bestätigte den Fund und zahlte die Belohnung aus.
Das Unternehmen hat weder das Produkt, das den Fehler enthielt, noch die Organisation, die das Bounty zahlte, genannt. Bekannt ist lediglich die Höhe: 250.000 Dollar. In der Bug-Bounty-Welt platziert dies diesen Fund im Elite-Bereich. Die meisten Belohnungen liegen zwischen einigen hundert und einigen tausend Dollar. Sechsstellige Bountys sind selten und normalerweise Fehlern vorbehalten, die es einem Angreifer ermöglichen könnten, ein Gerät zu übernehmen oder sensible Daten zu stehlen.
Autonome vs. menschliche Forscher
Traditionelle Schwachstellensuche wird von Menschen durchgeführt, die manuell Code inspizieren, Debugger ausführen und Grenzfälle testen. Das erfordert Zeit und Fachwissen. Autonome Systeme arbeiten anders. Sie können kontinuierlich laufen und Millionen von Eingaben ohne Ermüdung testen. Das System von GregoAI ist darauf ausgelegt, aus jedem Test zu lernen und mit jeder Prüfung intelligenter zu werden.
Das Unternehmen hat keine technischen Details seines Ansatzes veröffentlicht, aber ähnliche Systeme kombinieren oft Fuzzing – das Bombardieren eines Programms mit zufälligen Daten, um Abstürze auszulösen – mit Modellen des maschinellen Lernens, die vorhersagen, wo Fehler am wahrscheinlichsten versteckt sind. Sobald das System einen potenziellen Fehler findet, versucht es, einen Exploit zu erst
