Een kunstmatige intelligentiebedrijf genaamd GregoAI heeft een bug bounty van $250.000 opgestreken nadat zijn software autonoom een kritieke beveiligingskwetsbaarheid vond. De uitbetaling is een van de grootste ooit toegekend voor een enkele kwetsbaarheid ontdekt door een machine, wat een mijlpaal markeert in geautomatiseerd hacken.
Hoe het systeem werkt
Het platform van GregoAI werkt zonder directe menselijke input. Het scant applicaties en systemen op mogelijke zwakke plekken en probeert die zwakke plekken vervolgens om te zetten in werkende exploits. Dat exploitrapport wordt ingediend bij het bug bounty-programma van de getroffen organisatie. De organisatie verifieerde de vondst en keerde de beloning uit.
Het bedrijf heeft niet bekendgemaakt welk product de bug bevatte of welke organisatie de bounty uitbetaalde. Wat wel bekend is, is het bedrag: $250.000. In de bug bounty-wereld plaatst dit deze ontdekking in elitegebied. De meeste beloningen variëren van een paar honderd tot een paar duizend dollar. Zescijferige bounties zijn zeldzaam en meestal voorbehouden aan bugs die een aanvaller in staat kunnen stellen een apparaat over te nemen of gevoelige gegevens te stelen.
Autonoom versus menselijke onderzoekers
Traditionele kwetsbaarhedenjacht wordt gedaan door mensen die handmatig code inspecteren, debuggers uitvoeren en randgevallen testen. Het kost tijd en expertise. Autonome systemen werken anders. Ze kunnen continu draaien en miljoenen inputs testen zonder vermoeidheid. Het systeem van GregoAI is ontworpen om van elke test te leren en slimmer te worden naarmate het onderzoekt.
Het bedrijf heeft geen technische details over zijn aanpak vrijgegeven, maar vergelijkbare systemen combineren vaak fuzzing — het bombarderen van een programma met willekeurige gegevens om crashes te veroorzaken — met machine learning-modellen die voorspellen waar bugs zich het waarschijnlijkst verstoppen. Zodra het systeem een mogelijke fout vindt, probeert het een exploit te maken die de ernst van de bug aantoont. Die demonstratie is cruciaal om een hoge bounty te winnen.
Wat $250.000 zegt over de bug
Bug bounty-programma's worden beheerd door bedrijven als Google, Microsoft, Apple en vele anderen. Elk heeft zijn eigen uitbetalingsschaal. Een uitbetaling van $250.000 geeft aan dat de kwetsbaarheid als kritiek werd beschouwd, waarschijnlijk waardoor externe code-uitvoering of een volledige systeemcompromittering mogelijk was. Het feit dat een autonoom systeem het vond, suggereert dat dergelijke systemen nu in staat zijn om menselijke onderzoekers te evenaren of te overtreffen op hoogwaardige doelwitten.
Voor GregoAI dient de bounty als een proof of concept. Het bedrijf heeft waarschijnlijk zwaar geïnvesteerd in de ontwikkeling van het autonome platform. Deze uitbetaling laat zien dat de aanpak echte inkomsten kan genereren, niet alleen academische interesse.
Wat dit betekent voor het beveiligingslandschap
Geautomatiseerde ontdekking van kwetsbaarheden zou de dynamiek van openbaarmaking van kwetsbaarheden kunnen veranderen. Als machines kritieke bugs sneller kunnen vinden dan mensen, kunnen softwareleveranciers een golf van meldingen zien. Dat zou hun vermogen om snel patches uit te brengen onder druk kunnen zetten, maar het betekent ook dat minder bugs lang onopgemerkt blijven.
De bounty van $250.000 verhoogt ook de inzet voor andere autonome beveiligingsbedrijven. Verschillende startups bouwen soortgelijke technologie. De uitbetaling van GregoAI is een duidelijk signaal dat de markt door machines ontdekte exploits op hetzelfde niveau waardeert als door mensen ontdekte exploits.
De volgende vraag is hoeveel van dergelijke bounties zullen volgen. GregoAI heeft niet gezegd of het van plan is zijn systeem op te schalen voor breder gebruik of solo te blijven jagen. Maar de industrie kijkt toe. Een enkele uitbetaling van $250.000 maakt nog geen revolutie, maar het bewijst wel dat de machine het soort bug kan vinden dat beveiligingsteams 's nachts wakker houdt.
