GregoAI-niminen tekoälyyritys on ansainnut 250 000 dollarin bugipalkkion, kun sen ohjelmisto löysi itsenäisesti kriittisen tietoturva-aukon. Palkkio on yksi suurimmista koskaan maksetuista yksittäisestä koneen löytämästä haavoittuvuudesta, mikä merkitsee virstanpylvästä automatisoidussa hakkeroinnissa.
Järjestelmän toimintaperiaate
GregoAI:n alusta toimii ilman suoraa ihmisen ohjausta. Se skannaa sovelluksia ja järjestelmiä etsien mahdollisia heikkouksia ja yrittää sitten muuttaa nämä heikkoudet toimiviksi hyökkäysmenetelmiksi. Tämä haavoittuvuusraportti lähetetään asianomaisen organisaation bugipalkkio-ohjelmaan. Organisaatio vahvisti löydön ja maksoi palkkion.
Yritys ei ole paljastanut tuotetta, joka sisälsi haavoittuvuuden, eikä organisaatiota, joka maksoi palkkion. Tiedossa on vain summa: 250 000 dollaria. Bugipalkkioiden maailmassa tämä sijoittuu eliittitasolle. Suurin osa palkkioista on muutamasta sadasta muutamaan tuhanteen dollariin. Kuusinumeroiset palkkiot ovat harvinaisia ja yleensä varattu haavoittuvuuksille, jotka voisivat antaa hyökkääjälle mahdollisuuden ottaa laite haltuunsa tai varastaa arkaluonteisia tietoja.
Autonominen vs. ihmistutkijat
Perinteinen haavoittuvuuksien etsintä tehdään ihmisten toimesta, jotka tarkastavat koodia manuaalisesti, ajavat debuggereita ja testaavat reunatapauksia. Se vaatii aikaa ja asiantuntemusta. Autonomiset järjestelmät toimivat eri tavalla. Ne voivat toimia jatkuvasti testaten miljoonia syötteitä väsymättä. GregoAI:n järjestelmä on suunniteltu oppimaan jokaisesta testistä, tullen älykkäämmäksi sitä mukaa kun se tutkii.
Yritys ei ole julkaissut teknisiä yksityiskohtia lähestymistavastaan, mutta vastaavat järjestelmät yhdistävät usein fuzzauksen – ohjelman pommittamisen satunnaisella datalla kaatumisten aiheuttamiseksi – koneoppimismalleihin, jotka ennustavat, missä haavoittuvuudet todennäköisimmin piilevät. Kun järjestelmä löytää mahdollisen vian, se yrittää luoda hyökkäysmenetelmän, joka osoittaa haavoittuvuuden vakavuuden. Tämä demonstraatio on avain korkean palkkion saamiseen.
Mitä 250 000 dollaria kertoo haavoittuvuudesta
Bugipalkkio-ohjelmia ylläpitävät yritykset kuten Google, Microsoft, Apple ja monet muut. Jokaisella on oma palkkioasteikkonsa. 250 000 dollarin palkkio viestii, että haavoittuvuutta pidettiin kriittisenä, todennäköisesti mahdollistaen etäkoodin suorituksen tai koko järjestelmän valtauksen. Se, että autonominen järjestelmä löysi sen, viittaa siihen, että tällaiset järjestelmät kykenevät nyt vastaamaan tai jopa ylittämään ihmistutkijat korkean arvon kohteissa.
GregoAI:lle palkkio toimii konseptitodistuksena. Yritys on todennäköisesti investoinut paljon autonomisen alustan kehittämiseen. Tämä palkkio osoittaa, että lähestymistapa voi tuottaa todellisia tuloja, ei vain akateemista kiinnostusta.
Mitä tämä tarkoittaa tietoturvakentälle
Automatisoitu haavoittuvuuksien löytäminen voi muuttaa tietoturva-aukkojen paljastamisen dynamiikkaa. Jos koneet löytävät kriittisiä haavoittuvuuksia nopeammin kuin ihmiset, ohjelmistotoimittajat saattavat kokea raporttien tulvan. Tämä voi rasittaa heidän kykyään korjata nopeasti, mutta se tarkoittaa myös, että vähemmän haavoittuvuuksia jää pitkäksi aikaa huomaamatta.
250 000 dollarin palkkio nostaa panoksia myös muille autonomisille tietoturvayrityksille. Useat startupit rakentavat samankaltaista teknologiaa. GregoAI:n palkkio on selvä merkki siitä, että markkinat arvostavat koneiden löytämiä haavoittuvuuksia samalla tasolla kuin ihmisten löytämiä.
Seuraava kysymys on, kuinka monta tällaista palkkiota on tulossa. GregoAI ei ole kertonut, aikooko se skaalata järjestelmäänsä laajempaan käyttöön vai jatkaako se yksittäistä etsintää. Mutta ala seuraa tarkasti. Yksi 250 000 dollarin palkkio ei tee vallankumousta, mutta se todistaa, että kone pystyy löytämään sellaisen haavoittuvuuden, joka pitää tietoturvatiimit hereillä öisin.
