חברת בינה מלאכותית בשם GregoAI זכתה בפרס באג באונטי בסך 250,000 דולר, לאחר שהתוכנה שלה גילתה באופן אוטונומי ניצול אבטחה קריטי. התשלום הוא אחד הגדולים ביותר שהוענקו אי פעם עבור פגיעות יחידה שהתגלתה על ידי מכונה, מה שמסמן אבן דרך בתחום הפריצה האוטומטית.
כיצד המערכת פועלת
הפלטפורמה של GregoAI פועלת ללא קלט אנושי ישיר. היא סורקת יישומים ומערכות לאיתור חולשות פוטנציאליות, ואז מנסה להפוך חולשות אלו לניצולים עובדים. דו"ח הניצול הזה הוא מה שמוגש לתוכנית הבאג באונטי של הארגון המושפע. הארגון אימת את הממצא והנפיק את הפרס.
החברה לא חשפה את שם המוצר שהכיל את הבאג או את הארגון ששילם את הפרס. מה שידוע הוא הסכום: 250,000 דולר. בעולם הבאג באונטי, זה מציב את הגילוי הזה בטריטוריה עילית. רוב הפרסים נעים בין כמה מאות לכמה אלפי דולרים. פרסים בעלי שש ספרות הם נדירים ושמורים בדרך כלל לבאגים שיכולים לאפשר לתוקף להשתלט על מכשיר או לגנוב מידע רגיש.
חוקרים אוטונומיים לעומת אנושיים
ציד פגיעויות מסורתי נעשה על ידי אנשים שבודקים קוד ידנית, מריצים דיבאגרים ובוחנים מקרי קצה. זה דורש זמן ומומחיות. מערכות אוטונומיות פועלות אחרת. הן יכולות לרוץ ברציפות, לבדוק מיליוני קלטים ללא עייפות. המערכת של GregoAI מתוכננת ללמוד מכל בדיקה, ולהשתכלל ככל שהיא חוקרת.
החברה לא פרסמה פרטים טכניים על הגישה שלה, אך מערכות דומות משלבות לעיתים קרובות פיזינג — הצפת תוכנית בנתונים אקראיים כדי לגרום לקריסות — עם מודלים של למידת מכונה שמנבאים היכן באגים עשויים להסתתר. לאחר שהמערכת מוצאת פגם פוטנציאלי, היא מנסה ליצור ניצול שמדגים את חומרת הבאג. הדגמה זו היא המפתח לזכייה בפרס גבוה.
מה 250,000 הדולר אומרים על הבאג
תוכניות באג באונטי מנוהלות על ידי חברות כמו גוגל, מיקרוסופט, אפל ועוד רבות אחרות. לכל אחת יש סולם תשלומים משלה. תשלום של 250,000 דולר מאותת שהפגיעות נחשבה קריטית, ככל הנראה מאפשרת ביצוע קוד מרחוק או השתלטות מלאה על המערכת. העובדה שמערכת אוטונומית גילתה אותה מרמזת שמערכות כאלה מסוגלות כעת להשתוות או לעלות על חוקרים אנושיים ביעדים בעלי ערך גבוה.
עבור GregoAI, הפרס משמש כהוכחת היתכנות. החברה השקיעה ככל הנראה רבות בפיתוח הפלטפורמה האוטונומית. תשלום זה מראה שהגישה יכולה לייצר הכנסות אמיתיות, לא רק עניין אקדמי.
מה זה אומר עבור נוף האבטחה
גילוי ניצול אוטומטי עשוי לשנות את הדינמיקה של חשיפת פגיעויות. אם מכונות יכולות למצוא באגים קריטיים מהר יותר מבני אדם, ספקי תוכנה עלולים לראות גל של דיווחים. זה עלול להכביד על יכולתם לתקן במהירות, אך גם אומר שפחות באגים נותרים בלתי מזוהים לתקופות ארוכות.
הפרס של 250,000 דולר גם מעלה את ההימור עבור חברות אבטחה אוטונומיות אחרות. מספר סטארט-אפים בונים טכנולוגיה דומה. התשלום של GregoAI הוא איתות ברור לכך שהשוק מעריך ניצולים שהתגלו על ידי מכונה באותה רמה כמו אלה שהתגלו על ידי אדם.
השאלה הבאה היא כמה פרסים כאלה יבואו אחר כך. GregoAI לא אמרה אם היא מתכננת להרחיב את המערכת לשימוש נרחב יותר או להמשיך לצוד לבד. אבל התעשייה צופה. תשלום בודד של 250,000 דולר אינו מהווה מהפכה, אך הוא מוכיח שהמכונה יכולה למצוא את סוג הבאג שמונע שינה מצוותי האבטחה.
