Si funksionon sistemi
Platforma e GregoAI funksionon pa ndërhyrje të drejtpërdrejtë njerëzore. Ajo skanon aplikacione dhe sisteme për dobësi të mundshme, më pas përpiqet t'i kthejë ato dobësi në eksploitë funksionalë. Ky raport eksploit i dorëzohet programit bug bounty të organizatës së prekur. Organizata verifikoi gjetjen dhe lëshoi shpërblimin.
Kompania nuk ka përmendur produktin që përmbante defektin as organizatën që pagoi shpërblimin. Ajo që dihet është shuma: $250,000. Në botën e bug bounty, kjo e vendos këtë zbulim në territor elitar. Shumica e shpërblimeve variojnë nga disa qindra në disa mijëra dollarë. Shpërblimet me gjashtë shifra janë të rralla dhe zakonisht rezervohen për defekte që mund të lejojnë një sulmues të marrë kontrollin e një pajisjeje ose të vjedhë të dhëna të ndjeshme.
Kërkuesit autonomë kundrejt atyre njerëzorë
Gjuetia tradicionale e cenueshmërive bëhet nga njerëz që inspektojnë manualisht kodin, ekzekutojnë debugues dhe testojnë raste kufitare. Kërkon kohë dhe ekspertizë. Sistemet autonome funksionojnë ndryshe. Ato mund të funksionojnë vazhdimisht, duke testuar miliona inpute pa lodhje. Sistemi i GregoAI është projektuar të mësojë nga çdo test, duke u bërë më i zgjuar ndërsa heton.
Firma nuk ka publikuar detaje teknike të qasjes së saj, por sisteme të ngjashme shpesh kombinojnë fuzzing-un — bombardimin e një programi me të dhëna të rastësishme për të shkaktuar dështime — me modele të mësimit makinerik që parashikojnë se ku kanë më shumë gjasa të fshihen defektet. Pasi sistemi gjen një defekt të mundshëm, përpiqet të krijojë një eksploit që demonstron ashpërsinë e defektit. Kjo demonstrim është kyç për të fituar një shpërblim të lartë.
Çfarë tregon $250,000 për defektin
Programet bug bounty drejtohen nga kompani si Google, Microsoft, Apple dhe shumë të tjera. Secila ka shkallën e vet të pagesave. Një pagesë prej $250,000 sinjalizon se cenueshmëria konsiderohej kritike, ndoshta duke lejuar ekzekutim të kodit në distancë ose kompromis të plotë të sistemit. Fakti që një sistem autonom e gjeti sugjeron se sisteme të tilla tani janë në gjendje të përputhen ose të tejkalojnë kërkuesit njerëzorë në objektiva me vlerë të lartë.
Për GregoAI, shpërblimi shërben si një provë e konceptit. Kompania ka investuar ndosha shumë në zhvillimin e platformës autonome. Kjo pagesë tregon se qasja mund të gjenerojë të ardhura reale, jo vetëm interes akademik.
Çfarë do të thotë kjo për peizazhin e sigurisë
Zbulimi i automatizuar i eksploitëve mund të ndryshojë dinamikën e zbulimit të cenueshmërive. Nëse makinat mund të gjejnë defekte kritike më shpejt se njerëzit, shitësit e softuerit mund të shohin një rritje të raporteve. Kjo mund të sforcojë aftësinë e tyre për të bërë arna shpejt, por gjithashtu do të thotë se më pak defekte mbeten të pazbuluara për periudha të gjata.
Shpërblimi prej $250,000 gjithashtu rrit aksionet për firmat e tjera të sigurisë autonome. Disa startup-e po ndërtojnë teknologji të ngjashme. Pagesa e GregoAI është një sinjal i qartë se tregu vlerëson eksploitët e zbuluar nga makina në të njëjtin nivel me ato të zbuluara nga njerëzit.
Pyetja tjetër është se sa shpërblime të tilla do të pasojnë. GregoAI nuk ka thënë nëse planifikon të shkallëzojë sistemin e saj për përdorim më të gjerë apo të vazhdojë gjuetinë vetëm. Por industria po vëzhgon. Një pagesë e vetme prej $250,000 nuk bën një revolucion, por provon se makina mund të gjejë l
