Egy GregoAI nevű mesterséges intelligencia cég 250 000 dolláros hibajutalmat (bug bounty) zsebelt be, miután szoftvere autonóm módon talált egy kritikus biztonsági rést. Ez a kifizetés az egyik legnagyobb, amit valaha egy gép által felfedezett egyetlen sebezhetőségért adtak, ami mérföldkő az automatizált feltörés területén.
Hogyan működik a rendszer
A GregoAI platformja közvetlen emberi beavatkozás nélkül működik. Alkalmazásokat és rendszereket vizsgál potenciális gyengeségek után, majd megpróbálja ezeket a gyengeségeket működő exploitokká alakítani. Ezt az exploit-jelentést nyújtják be az érintett szervezet hibavadász programjába. A szervezet ellenőrizte a felfedezést, és kiadta a jutalmat.
A cég nem nevezte meg a hibát tartalmazó terméket, sem a jutalmat fizető szervezetet. Ami ismert, az az összeg: 250 000 dollár. A hibavadász világban ez a felfedezés az elit kategóriába tartozik. A legtöbb jutalom néhány száztól néhány ezer dollárig terjed. Hat számjegyű jutalmak ritkák, és általában olyan hibákért járnak, amelyek lehetővé tennék egy támadó számára, hogy átvegye az irányítást egy eszköz felett, vagy érzékeny adatokat lopjon el.
Autonóm vs. emberi kutatók
A hagyományos sebezhetőségvadászatot emberek végzik, akik manuálisan vizsgálják a kódot, futtatnak hibakeresőket, és tesztelnek határeseteket. Időt és szakértelmet igényel. Az autonóm rendszerek másképp működnek. Folyamatosan futhatnak, millió bemenetet tesztelve fáradtság nélkül. A GregoAI rendszerét úgy tervezték, hogy minden tesztből tanuljon, egyre okosabbá válva a vizsgálódás során.
A cég nem hozta nyilvánosságra megközelítésének technikai részleteit, de hasonló rendszerek gyakran kombinálják a fuzzingot – a program véletlenszerű adatokkal való bombázását, hogy összeomlást idézzenek elő – olyan gépi tanulási modellekkel, amelyek megjósolják, hol rejtőznek a legvalószínűbb hibák. Miután a rendszer talált egy potenciális hibát, megpróbál egy exploitot készíteni, amely demonstrálja a hiba súlyosságát. Ez a demonstráció kulcsfontosságú a magas jutalom elnyeréséhez.
Mit mond a 250 000 dollár a hibáról
A hibavadász programokat olyan cégek üzemeltetik, mint a Google, a Microsoft, az Apple és még sokan mások. Mindegyiknek saját kifizetési skálája van. A 250 000 dolláros kifizetés azt jelzi, hogy a sebezhetőséget kritikusnak tekintették, valószínűleg lehetővé tette távoli kódvégrehajtást vagy a rendszer teljes kompromittálását. Az a tény, hogy egy autonóm rendszer találta meg, arra utal, hogy ezek a rendszerek mostanra képesek felvenni a versenyt az emberi kutatókkal, vagy akár meg is haladni őket a nagy értékű célpontok terén.
A GregoAI számára a jutalom koncepcióigazolásként szolgál. A cég valószínűleg jelentős összegeket fektetett az autonóm platform fejlesztésébe. Ez a kifizetés megmutatja, hogy a megközelítés valódi bevételt termelhet, nem csak akadémiai érdeklődést.
Mit jelent ez a biztonsági környezetre nézve
Az automatizált exploit felfedezés megváltoztathatja a sebezhetőségek nyilvánosságra hozatalának dinamikáját. Ha a gépek gyorsabban találnak kritikus hibákat, mint az emberek, a szoftvergyártók jelentések áradatával szembesülhetnek. Ez megterhelheti a gyors javítási képességüket, de azt is jelenti, hogy kevesebb hiba marad észrevétlen hosszú ideig.
A 250 000 dolláros jutalom emeli a tétet más autonóm biztonsági cégek számára is. Több startup is épít hasonló technológiát. A GregoAI kifizetése egyértelmű jelzés arra, hogy a piac ugyanolyan szinten értékeli a gép által felfedezett exploitokat, mint az ember által felfedezetteket.
A következő kérdés, hogy hány ilyen jutalom következik. A GregoAI nem közölte, hogy tervezi-e rendszerének szélesebb körű használatra való méretezését, vagy folytatja-e az egyéni vadászatot. De az iparág figyel. Egyetlen 250 000 dolláros kifizetés nem forradalom, de bizonyítja, hogy a gép képes megtalálni azt a fajta hibát, ami ébren tartja a biztonsági csapatokat éjszakánként.
