Cum funcționează sistemul
Platforma GregoAI rulează fără intervenție umană directă. Aceasta scanează aplicații și sisteme pentru potențiale puncte slabe, apoi încearcă să transforme acele puncte slabe în exploit-uri funcționale. Raportul respectiv de exploit este cel care este trimis programului de recompensare pentru bug-uri al organizației afectate. Organizația a verificat descoperirea și a emis recompensa.
Compania nu a numit produsul care conținea bug-ul sau organizația care a plătit recompensa. Ceea ce se știe este suma: 250.000 de dolari. În lumea recompenselor pentru bug-uri, aceasta plasează descoperirea într-un teritoriu de elită. Majoritatea recompenselor variază de la câteva sute la câteva mii de dolari. Recompensele de șase cifre sunt rare și, de obicei, rezervate pentru bug-uri care ar putea permite unui atacator să preia controlul asupra unui dispozitiv sau să fure date sensibile.
Cercetători autonomi vs. umani
Vânătoarea tradițională de vulnerabilități este realizată de oameni care inspectează manual codul, rulează debugger-e și testează cazuri limită. Necesită timp și expertiză. Sistemele autonome funcționează diferit. Ele pot rula continuu, testând milioane de intrări fără oboseală. Sistemul GregoAI este conceput să învețe din fiecare test, devenind mai inteligent pe măsură ce sondează.
Firma nu a publicat detalii tehnice despre abordarea sa, dar sisteme similare combină adesea fuzzing-ul — bombardarea unui program cu date aleatorii pentru a provoca crash-uri — cu modele de învățare automată care prezic unde se ascund cel mai probabil bug-urile. Odată ce sistemul găsește un potențial defect, încearcă să creeze un exploit care demonstrează gravitatea bug-ului. Această demonstrație este cheia pentru a obține o recompensă mare.
Ce spune suma de 250.000 de dolari despre bug
Programele de recompensare pentru bug-uri sunt gestionate de companii precum Google, Microsoft, Apple și multe altele. Fiecare are propria scară de plată. O plată de 250.000 de dolari semnalează că vulnerabilitatea a fost considerată critică, probabil permițând execuția de cod de la distanță sau compromiterea completă a sistemului. Faptul că un sistem autonom a găsit-o sugerează că astfel de sisteme sunt acum capabile să egaleze sau să depășească cercetătorii umani în cazul unor ținte de mare valoare.
Pentru GregoAI, recompensa servește drept dovadă a conceptului. Compania a investit probabil semnificativ în dezvoltarea platformei autonome. Această plată arată că abordarea poate genera venituri reale, nu doar interes academic.
Ce înseamnă aceasta pentru peisajul securității
Descoperirea automatizată a exploit-urilor ar putea schimba dinamica dezvăluirii vulnerabilităților. Dacă mașinile pot găsi bug-uri critice mai repede decât oamenii, furnizorii de software ar putea vedea o creștere a raportărilor. Acest lucru ar putea pune presiune pe capacitatea lor de a aplica patch-uri rapid, dar înseamnă și că mai puține bug-uri rămân nedetectate pentru perioade lungi.
Recompensa de 250.000 de dolari ridică, de asemenea, miza pentru alte firme de securitate autonomă. Mai multe startup-uri construiesc tehnologii similare. Plata GregoAI este un semnal clar că piața valorifică exploit-urile descoperite de mașini la același nivel cu cele descoperite de oameni.
Următoarea întrebare este câte astfel de recompense vor urma. GregoAI nu a spus dacă intenționează să-și extindă sistemul pentru o utilizare mai largă sau să continue să vâneze singur. Dar industria urmărește. O singură plată de 250.000 de dolari nu face o revoluție, dar demonstrează
