Ett AI-företag vid namn GregoAI har fått 250 000 dollar i buggpremie efter att dess programvara på egen hand hittat en kritisk säkerhetsbrist. Utbetalningen är en av de största någonsin för en enskild sårbarhet upptäckt av en maskin, och markerar en milstolpe inom automatiserad hacking.
Så fungerar systemet
GregoAIs plattform körs utan direkt mänsklig inblandning. Den genomsöker applikationer och system efter potentiella svagheter och försöker sedan omvandla dessa svagheter till fungerande exploateringsmetoder. Den rapporten skickas till den drabbade organisationens buggpremieprogram. Organisationen verifierade fyndet och betalade ut belöningen.
Företaget har inte namngivit produkten som innehöll buggen eller organisationen som betalade premien. Det som är känt är summan: 250 000 dollar. I buggpremievärlden placerar det här upptäckten i elitskiktet. De flesta belöningar ligger på några hundra till några tusen dollar. Sexsiffriga belöningar är ovanliga och reserveras vanligtvis för buggar som skulle kunna låta en angripare ta över en enhet eller stjäla känslig data.
Autonoma vs. mänskliga forskare
Traditionell sårbarhetsjakt utförs av människor som manuellt granskar kod, kör felsökare och testar gränsfall. Det kräver tid och expertis. Autonoma system fungerar annorlunda. De kan köras kontinuerligt och testa miljontals indata utan att bli trötta. GregoAIs system är utformat för att lära sig av varje test och bli smartare ju mer det söker.
Företaget har inte publicerat tekniska detaljer om sin metod, men liknande system kombinerar ofta fuzzing – att bombardera ett program med slumpmässig data för att utlösa krascher – med maskininlärningsmodeller som förutspår var buggar med störst sannolikhet gömmer sig. När systemet hittar en potentiell svaghet försöker det skapa en exploit som visar hur allvarlig buggen är. Den demonstrationen är avgörande för att få en hög belöning.
Vad 250 000 dollar säger om buggen
Buggpremieprogram drivs av företag som Google, Microsoft, Apple och många andra. Varje program har sin egen utbetalningsskala. En utbetalning på 250 000 dollar signalerar att sårbarheten ansågs kritisk, troligen med möjlighet till fjärrkörning av kod eller fullständig systemkompromettering. Att ett autonomt system hittade den tyder på att sådana system nu kan matcha eller överträffa mänskliga forskare när det gäller högvärdiga mål.
För GregoAI fungerar premien som ett konceptbevis. Företaget har sannolikt investerat tungt i att utveckla den autonoma plattformen. Denna utbetalning visar att metoden kan generera verkliga intäkter, inte bara akademiskt intresse.
Vad detta innebär för säkerhetslandskapet
Automatiserad exploateringsupptäckt kan förändra dynamiken kring sårbarhetsrapportering. Om maskiner kan hitta kritiska buggar snabbare än människor kan programvaruleverantörer se en ökning av rapporter. Det skulle kunna anstränga deras förmåga att snabbt släppa patchar, men det innebär också att färre buggar förblir oupptäckta under långa perioder.
250 000-dollarspremien höjer också insatserna för andra autonoma säkerhetsföretag. Flera startups bygger liknande teknik. GregoAIs utbetalning är en tydlig signal om att marknaden värderar maskinupptäckta exploateringsmetoder på samma nivå som mänskligt upptäckta.
Nästa fråga är hur många sådana premier som kommer att följa. GregoAI har inte sagt om de planerar att skala upp sitt system för bredare användning eller fortsätta jaga på egen hand. Men branschen tittar. En enda utbetalning på 250 000 dollar gör ingen revolution, men den bevisar att maskinen kan hitta den typ av bugg som håller säkerhetsteam vakna om natten.
