Firma zajmująca się sztuczną inteligencją o nazwie GregoAI zgarnęła 250 000 dolarów nagrody za znalezienie krytycznej luki bezpieczeństwa przez swoje oprogramowanie w sposób autonomiczny. Jest to jedna z najwyższych nagród, jakie kiedykolwiek przyznano za pojedynczą podatność odkrytą przez maszynę, co stanowi kamień milowy w zautomatyzowanym hackingu.
Jak działa system
Platforma GregoAI działa bez bezpośredniego udziału człowieka. Skanuje aplikacje i systemy w poszukiwaniu potencjalnych słabości, a następnie próbuje przekształcić je w działające exploity. Raport o exploicie jest następnie przesyłany do programu bug bounty danej organizacji. Organizacja potwierdziła znalezisko i wypłaciła nagrodę.
Firma nie ujawniła, który produkt zawierał błąd ani która organizacja zapłaciła nagrodę. Wiadoma jest tylko kwota: 250 000 dolarów. W świecie bug bounty to umieszcza to odkrycie w elicie. Większość nagród wynosi od kilkuset do kilku tysięcy dolarów. Sześciocyfrowe nagrody są rzadkie i zazwyczaj zarezerwowane dla błędów, które mogą pozwolić atakującemu na przejęcie urządzenia lub kradzież wrażliwych danych.
Autonomiczne a ludzkie badanie
Tradycyjne polowanie na podatności wykonują ludzie, którzy ręcznie analizują kod, uruchamiają debuggery i testują przypadki brzegowe. Wymaga to czasu i wiedzy. Systemy autonomiczne działają inaczej. Mogą działać bez przerwy, testując miliony danych wejściowych bez zmęczenia. System GregoAI jest zaprojektowany tak, aby uczyć się na każdym teście, stając się coraz mądrzejszym w miarę sondowania.
Firma nie ujawniła szczegółów technicznych swojego podejścia, ale podobne systemy często łączą fuzzing – bombardowanie programu losowymi danymi w celu wywołania awarii – z modelami uczenia maszynowego, które przewidują, gdzie błędy najprawdopodobniej się ukrywają. Gdy system znajdzie potencjalną wadę, próbuje stworzyć exploit demonstrujący jej powagę. Ta demonstracja jest kluczem do uzyskania wysokiej nagrody.
Co mówi 250 000 dolarów o błędzie
Programy bug bounty są prowadzone przez firmy takie jak Google, Microsoft, Apple i wiele innych. Każda ma własną skalę wypłat. Wypłata 250 000 dolarów sygnalizuje, że podatność została uznana za krytyczną, prawdopodobnie umożliwiającą zdalne wykonanie kodu lub całkowite przejęcie systemu. Fakt, że odkrył ją system autonomiczny, sugeruje, że takie systemy są teraz w stanie dorównać lub przewyższyć ludzkich badaczy w przypadku celów o wysokiej wartości.
Dla GregoAI nagroda stanowi dowód koncepcji. Firma prawdopodobnie zainwestowała znaczne środki w rozwój autonomicznej platformy. Ta wypłata pokazuje, że podejście może generować realne przychody, a nie tylko zainteresowanie akademickie.
Co to oznacza dla krajobrazu bezpieczeństwa
Automatyczne wykrywanie exploitów może zmienić dynamikę ujawniania podatności. Jeśli maszyny będą w stanie znajdować krytyczne błędy szybciej niż ludzie, dostawcy oprogramowania mogą spodziewać się gwałtownego wzrostu liczby zgłoszeń. Może to obciążyć ich zdolność do szybkiego łatania, ale jednocześnie oznacza, że mniej błędów pozostanie niewykrytych przez długi czas.
Nagroda 250 000 dolarów podnosi również stawkę dla innych autonomicznych firm zajmujących się bezpieczeństwem. Kilka startupów buduje podobną technologię. Wypłata GregoAI jest wyraźnym sygnałem, że rynek ceni exploity odkrywane przez maszyny na równi z tymi odkrywanymi przez ludzi.
Pytanie brzmi, ile takich nagród nastąpi w przyszłości. GregoAI nie poinformowało, czy planuje skalować swój system do szerszego użytku, czy kontynuować polowanie solo. Branża jednak obserwuje. Pojedyncza wypłata 250 000 dolarów nie stanowi rewolucji, ale udowadnia, że maszyna potrafi znaleźć rodzaj błędu, który spędza sen z powiek zespołom ds. bezpieczeństwa.
