人工知能企業GregoAIは、そのソフトウェアが自律的に重大なセキュリティ脆弱性を発見し、25万ドルのバグ報奨金を獲得した。この報奨金は、機械によって発見された単一の脆弱性に対して支払われたものとしては過去最大級であり、自動化されたハッキングの節目となる。
システムの仕組み
GregoAIのプラットフォームは人間の直接的な入力なしに動作する。アプリケーションやシステムをスキャンして潜在的な弱点を探し、その弱点を実際に動作するエクスプロイトに変換しようとする。そのエクスプロイトの報告書が該当組織のバグ報奨金プログラムに提出される。組織は発見を確認し、報奨金を支払った。
同社は、バグが含まれていた製品や報奨金を支払った組織を明らかにしていない。判明しているのは金額、25万ドルである。バグ報奨金の世界では、この発見はエリート領域に位置づけられる。ほとんどの報奨金は数百ドルから数千ドルの範囲である。6桁の報奨金は稀であり、通常は攻撃者がデバイスを乗っ取ったり機密データを盗んだりできるようなバグにのみ支払われる。
自律型 vs. 人間の研究者
従来の脆弱性ハンティングは、人間が手動でコードを検査し、デバッガーを実行し、エッジケースをテストすることで行われてきた。時間と専門知識を要する。自律型システムは異なる動作をする。継続的に稼働し、疲れることなく数百万の入力をテストできる。GregoAIのシステムは各テストから学習し、調査を進めるにつれて賢くなるように設計されている。
同社はそのアプローチの技術的詳細を公開していないが、類似のシステムは多くの場合、ファジング(プログラムにランダムデータを送り込んでクラッシュを誘発する手法)と、バグが潜んでいそうな場所を予測する機械学習モデルを組み合わせている。システムが潜在的な欠陥を見つけると、そのバグの重大性を示すエクスプロイトを作成しようとする。この実証が高額な報奨金を得る鍵となる。
25万ドルが示すバグの深刻度
バグ報奨金プログラムは、Google、Microsoft、Appleなど多くの企業によって運営されている。各社には独自の報奨金スケールがある。25万ドルの報奨金は、その脆弱性が重大とみなされ、おそらくリモートコード実行やシステム全体の侵害を可能にするものであったことを示している。自律型システムがそれを発見したという事実は、そのようなシステムが高価値のターゲットにおいて人間の研究者に匹敵するか、それを上回る能力を持つに至ったことを示唆している。
GregoAIにとって、この報奨金は概念実証となる。同社は自律型プラットフォームの開発に多額の投資を行ってきた可能性が高い。この報奨金は、そのアプローチが学術的な関心だけでなく、実際の収益を生み出せることを示している。
セキュリティ環境への影響
自動化された脆弱性発見は、脆弱性開示のダイナミクスを変える可能性がある。機械が人間よりも速く重大なバグを見つけられるようになれば、ソフトウェアベンダーは報告の急増に直面するかもしれない。その結果、迅速なパッチ適用が困難になる可能性があるが、長期間未発見のバグが減少することも意味する。
25万ドルの報奨金は、他の自律型セキュリティ企業にとってもハードルを上げる。いくつかのスタートアップが同様の技術を構築している。GregoAIの報奨金は、市場が機械によって発見されたエクスプロイトを人間によって発見されたものと同等に評価しているという明確なシグナルである。
次の疑問は、今後どれだけの数の報奨金が続くかである。GregoAIは、システムを広く利用可能にするために拡大するのか、それとも単独でハンティングを続けるのかを発表していない。しかし、業界は注目している。単一の25万ドルの報奨金は革命を起こすものではないが、機械がセキュリティチームを夜も眠れなくさせるようなバグを見つけられることを証明している。
