GregoAI คว้ารางวัลบั๊ก 250,000 ดอลลาร์จากการค้นหาช่องโหว่แบบอัตโนมัติ

บริษัทปัญญาประดิษฐ์ชื่อ GregoAI ได้รับรางวัลบั๊กมูลค่า 250,000 ดอลลาร์หลังจากซอฟต์แวร์ของบริษัทค้นพบช่องโหว่ด้านความปลอดภัยที่ร้ายแรงได้โดยอัตโนมัติ การจ่ายรางวัลนี้เป็นหนึ่งในจำนวนที่สูงที่สุดเท่าที่เคยมีมาสำหรับช่องโหว่เดี่ยวที่ถูกค้นพบโดยเครื่องจักร ซึ่งถือเป็นก้าวสำคัญในการแฮกอัตโนมัติ

ระบบทำงานอย่างไร

แพลตฟอร์มของ GregoAI ทำงานโดยปราศจากการป้อนข้อมูลจากมนุษย์โดยตรง มันสแกนแอปพลิเคชันและระบบเพื่อหาจุดอ่อนที่อาจเกิดขึ้น จากนั้นพยายามเปลี่ยนจุดอ่อนเหล่านั้นให้เป็นช่องโหว่ที่ใช้งานได้จริง รายงานช่องโหว่นั้นจะถูกส่งไปยังโปรแกรมรางวัลบั๊กขององค์กรที่ได้รับผลกระทบ องค์กรดังกล่าวยืนยันการค้นพบและออกเงินรางวัล

บริษัทไม่ได้เปิดเผยชื่อผลิตภัณฑ์ที่มีบั๊กหรือชื่อองค์กรที่จ่ายรางวัล สิ่งที่ทราบคือจำนวนเงิน: 250,000 ดอลลาร์ ในโลกของรางวัลบั๊ก การค้นพบนี้จัดอยู่ในระดับสูงมาก รางวัลส่วนใหญ่มีตั้งแต่ไม่กี่ร้อยถึงไม่กี่พันดอลลาร์ รางวัลหกหลักนั้นหายากและมักจะสงวนไว้สำหรับบั๊กที่อาจทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์หรือขโมยข้อมูลที่ละเอียดอ่อนได้

การวิจัยด้วยระบบอัตโนมัติเทียบกับนักวิจัยมนุษย์

การล่าช่องโหว่แบบดั้งเดิมทำโดยมนุษย์ที่ตรวจสอบโค้ดด้วยตนเอง เรียกใช้ดีบักเกอร์ และทดสอบกรณีขอบ ต้องใช้เวลาและความเชี่ยวชาญ ระบบอัตโนมัติทำงานแตกต่างกัน พวกมันสามารถทำงานได้อย่างต่อเนื่อง ทดสอบอินพุตนับล้านครั้งโดยไม่เหนื่อยล้า ระบบของ GregoAI ถูกออกแบบมาให้เรียนรู้จากการทดสอบแต่ละครั้ง และฉลาดขึ้นเมื่อมันตรวจสอบ

บริษัทยังไม่ได้เปิดเผยรายละเอียดทางเทคนิคของแนวทางของตน แต่ระบบที่คล้ายคลึงกันมักจะรวมการฟัซซิ่ง — การป้อนข้อมูลสุ่มจำนวนมากให้กับโปรแกรมเพื่อทำให้เกิดการขัดข้อง — เข้ากับโมเดลการเรียนรู้ของเครื่องที่ทำนายว่าช่องโหว่มักจะซ่อนอยู่ที่ไหน เมื่อระบบพบจุดบกพร่องที่อาจเกิดขึ้น มันจะพยายามสร้างช่องโหว่ที่แสดงให้เห็นถึงความรุนแรงของบั๊ก การสาธิตนี้เป็นกุญแจสำคัญในการได้รับรางวัลสูง

รางวัล 250,000 ดอลลาร์บอกอะไรเกี่ยวกับบั๊ก

โปรแกรมรางวัลบั๊กดำเนินการโดยบริษัทอย่าง Google, Microsoft, Apple และอื่นๆ อีกมากมาย แต่ละแห่งมีระดับการจ่ายรางวัลของตนเอง การจ่ายรางวัล 250,000 ดอลลาร์บ่งชี้ว่าช่องโหว่นั้นถูกพิจารณาว่าร้ายแรง ซึ่งอาจทำให้สามารถเรียกใช้โค้ดจากระยะไกลหรือบุกรุกระบบได้อย่างสมบูรณ์ ความจริงที่ว่าระบบอัตโนมัติค้นพบมันบ่งชี้ว่าระบบดังกล่าวตอนนี้สามารถเทียบเคียงหรือเหนือกว่านักวิจัยมนุษย์ในเป้าหมายที่มีมูลค่าสูง

สำหรับ GregoAI รางวัลนี้ทำหน้าที่เป็นหลักฐานแนวคิด บริษัทอาจลงทุนอย่างหนักในการพัฒนาแพลตฟอร์มอัตโนมัติ การจ่ายรางวัลนี้แสดงให้เห็นว่าแนวทางดังกล่าวสามารถสร้างรายได้จริง ไม่ใช่แค่ความสนใจทางวิชาการ

สิ่งนี้หมายถึงอะไรสำหรับภูมิทัศน์ด้านความปลอดภัย

การค้นพบช่องโหว่แบบอัตโนมัติอาจเปลี่ยนพลวัตของการเปิดเผยช่องโหว่ หากเครื่องจักรสามารถค้นหาช่องโหว่ที่ร้ายแรงได้เร็วกว่ามนุษย์ ผู้จำหน่ายซอฟต์แวร์อาจเห็นรายงานเพิ่มขึ้นอย่างรวดเร็ว ซึ่งอาจทำให้ความสามารถในการแก้ไขอย่างรวดเร็วตึงเครียด แต่ก็หมายความว่าช่องโหว่น้อยลงจะถูกมองไม่เห็นเป็นเวลานาน

รางวัล 250,000 ดอลลาร์ยังเพิ่มเดิมพันสำหรับบริษัทรักษาความปลอดภัยอัตโนมัติอื่นๆ สตาร์ทอัพหลายแห่งกำลังสร้างเทคโนโลยีที่คล้ายคลึงกัน การจ่ายรางวัลของ GregoAI เป็นสัญญาณที่ชัดเจนว่าตลาดให้คุณค่ากับช่องโหว่ที่ค้นพบโดยเครื่องจักรในระดับเดียวกับที่ค้นพบโดยมนุษย์

คำถามต่อไปคือจะมีรางวัลลักษณะนี้ตามมาอีกกี่รางวัล GregoAI ยังไม่ได้บอกว่าจะขยายขนาดระบบเพื่อการใช้งานที่กว้างขึ้นหรือจะล่าต่อไปเพียงลำพัง แต่อุตสาหกรรมกำลังจับตามอง การจ่ายรางวัล 250,000 ดอลลาร์เพียงครั้งเดียวไม่ได้สร้างการปฏิวัติ แต่มันพิสูจน์ว่าเครื่องจักรสามารถหาบั๊กประเภทที่ทำให้ทีมรักษาความปลอดภัยนอนไม่หลับได้