شرکت هوش مصنوعی به نام GregoAI پس از آنکه نرمافزارش به طور خودکار یک اکسپلویت امنیتی حیاتی را کشف کرد، جایزه ۲۵۰,۰۰۰ دلاری باگ دریافت کرد. این پرداخت یکی از بزرگترین جوایزی است که تاکنون برای یک آسیبپذیری واحد که توسط یک ماشین کشف شده، اهدا شده است و نقطه عطفی در هک خودکار محسوب میشود.
سیستم چگونه کار میکند
پلتفرم GregoAI بدون ورودی مستقیم انسانی اجرا میشود. این پلتفرم برنامهها و سیستمها را برای یافتن نقاط ضعف احتمالی اسکن میکند و سپس سعی میکند آن نقاط ضعف را به اکسپلویتهای عملی تبدیل کند. گزارش اکسپلویت به برنامه پاداش باگ سازمان آسیبدیده ارسال میشود. سازمان این یافته را تأیید کرد و جایزه را صادر نمود.
شرکت نام محصول حاوی باگ یا سازمانی که جایزه را پرداخت کرده، فاش نکرده است. چیزی که مشخص است مبلغ ۲۵۰,۰۰۰ دلار است. در دنیای پاداش باگ، این کشف را در رده نخبگان قرار میدهد. بیشتر جوایز از چند صد تا چند هزار دلار متغیر است. جوایز شش رقمی نادر هستند و معمولاً برای باگهایی در نظر گرفته میشوند که میتوانند به مهاجم امکان کنترل دستگاه یا سرقت دادههای حساس را بدهند.
محققان خودکار در مقابل انسانی
شکار آسیبپذیری سنتی توسط افرادی انجام میشود که به صورت دستی کد را بررسی میکنند، دیباگرها را اجرا میکنند و موارد مرزی را آزمایش میکنند. این کار نیازمند زمان و تخصص است. سیستمهای خودکار متفاوت عمل میکنند. آنها میتوانند به طور مداوم اجرا شوند و میلیونها ورودی را بدون خستگی آزمایش کنند. سیستم GregoAI طوری طراحی شده است که از هر آزمایش یاد بگیرد و در حین جستجو هوشمندتر شود.
شرکت جزئیات فنی رویکرد خود را منتشر نکرده است، اما سیستمهای مشابه اغلب ترکیبی از فازینگ (بمباران برنامه با دادههای تصادفی برای ایجاد کرش) با مدلهای یادگیری ماشین هستند که پیشبینی میکنند باگها بیشتر در کجا پنهان میشوند. هنگامی که سیستم یک نقص احتمالی پیدا میکند، سعی میکند یک اکسپلویت بسازد که شدت باگ را نشان دهد. این نمایش برای دریافت جایزه بالا کلیدی است.
۲۵۰,۰۰۰ دلار چه چیزی درباره باگ میگوید
برنامههای پاداش باگ توسط شرکتهایی مانند گوگل، مایکروسافت، اپل و بسیاری دیگر اداره میشوند. هر کدام مقیاس پرداخت خود را دارند. پرداخت ۲۵۰,۰۰۰ دلار نشان میدهد که آسیبپذیری حیاتی در نظر گرفته شده است، احتمالاً اجازه اجرای کد از راه دور یا به خطر افتادن کامل سیستم را میدهد. این واقعیت که یک سیستم خودکار آن را پیدا کرده است نشان میدهد که چنین سیستمهایی اکنون قادر به رقابت یا پیشی گرفتن از محققان انسانی در اهداف باارزش هستند.
برای GregoAI، این جایزه به عنوان اثبات مفهوم عمل میکند. شرکت احتمالاً سرمایهگذاری سنگینی در توسعه پلتفرم خودکار انجام داده است. این پرداخت نشان میدهد که این رویکرد میتواند درآمد واقعی ایجاد کند، نه فقط علاقه آکادمیک.
این برای چشمانداز امنیتی چه معنایی دارد
کشف خودکار اکسپلویت میتواند پویایی افشای آسیبپذیری را تغییر دهد. اگر ماشینها بتوانند باگهای حیاتی را سریعتر از انسانها پیدا کنند، فروشندگان نرمافزار ممکن است با افزایش گزارشها مواجه شوند. این میتواند توانایی آنها را برای وصله سریع تحت فشار قرار دهد، اما همچنین به این معنی است که باگهای کمتری برای مدت طولانی شناسایی نشده باقی میمانند.
جایزه ۲۵۰,۰۰۰ دلاری همچنین سهام را برای سایر شرکتهای امنیتی خودکار افزایش میدهد. چندین استارتاپ در حال ساخت فناوری مشابه هستند. پرداخت GregoAI یک سیگنال واضح است که بازار برای اکسپلویتهای کشفشده توسط ماشین به همان اندازه اکسپلویتهای کشفشده توسط انسان ارزش قائل است.
سوال بعدی این است که چه تعداد از چنین جوایزی دنبال خواهد شد. GregoAI نگفته است که آیا قصد دارد سیستم خود را برای استفاده گستردهتر مقیاس کند یا به شکار انفرادی ادامه دهد. اما صنعت در حال تماشا است. یک پرداخت ۲۵۰,۰۰۰ دلاری انقلابی ایجاد نمیکند، اما ثابت میکند که ماشین میتواند نوعی باگ را پیدا کند که تیمهای امنیتی را شب بیدار نگه میدارد.
