GregoAI adlı bir yapay zeka şirketi, yazılımının otonom olarak kritik bir güvenlik açığı bulmasının ardından 250.000 dolarlık bir hata ödülü kazandı. Bu ödeme, bir makine tarafından keşfedilen tek bir güvenlik açığı için şimdiye kadar verilen en büyük ödüllerden biri olup, otomatik hackleme alanında bir dönüm noktası niteliği taşıyor.
Sistem nasıl çalışıyor
GregoAI'nin platformu doğrudan insan girdisi olmadan çalışır. Uygulamaları ve sistemleri potansiyel zayıflıklar için tarar, ardından bu zayıflıkları çalışan istismarlara dönüştürmeye çalışır. Bu istismar raporu, etkilenen kuruluşun hata ödülü programına gönderilir. Kuruluş bulguyu doğrulayarak ödülü verdi.
Şirket, hatayı içeren ürünün veya ödemeyi yapan kuruluşun adını açıklamadı. Bilinen şey miktar: 250.000 dolar. Hata ödülü dünyasında bu, keşfi elit bir seviyeye taşıyor. Çoğu ödül birkaç yüz ila birkaç bin dolar arasında değişiyor. Altı haneli ödüller nadirdir ve genellikle bir saldırganın bir cihazı ele geçirmesine veya hassas verileri çalmasına izin verebilecek hatalar için ayrılır.
Otonom ve insan araştırmacılar
Geleneksel güvenlik açığı avcılığı, kodu manuel olarak inceleyen, hata ayıklayıcılar çalıştıran ve uç durumları test eden kişiler tarafından yapılır. Zaman ve uzmanlık gerektirir. Otonom sistemler farklı çalışır. Sürekli olarak çalışabilir, yorulmadan milyonlarca girdiyi test edebilirler. GregoAI'nin sistemi her testten öğrenecek ve araştırdıkça daha akıllı hale gelecek şekilde tasarlanmıştır.
Şirket yaklaşımının teknik detaylarını açıklamadı, ancak benzer sistemler genellikle rastgele verilerle bir programı bombalayarak çökmelere neden olan fuzzing ile hataların büyük olasılıkla nerede saklandığını tahmin eden makine öğrenimi modellerini birleştirir. Sistem potansiyel bir kusur bulduğunda, hatanın ciddiyetini gösteren bir istismar oluşturmaya çalışır. Bu gösteri, yüksek bir ödül kazanmanın anahtarıdır.
Hata hakkında 250.000 dolar ne söylüyor
Hata ödülü programları Google, Microsoft, Apple ve diğer birçok şirket tarafından yürütülür. Her birinin kendi ödeme ölçeği vardır. 250.000 dolarlık bir ödeme, güvenlik açığının kritik olarak değerlendirildiğini, muhtemelen uzaktan kod yürütmeye veya tam bir sistem ele geçirmeye izin verdiğini gösterir. Otonom bir sistemin bunu bulması, bu tür sistemlerin artık yüksek değerli hedeflerde insan araştırmacılarla eşleşebileceğini veya onları geçebileceğini düşündürmektedir.
GregoAI için ödül, bir konsept kanıtı işlevi görüyor. Şirket muhtemelen otonom platformu geliştirmek için önemli yatırımlar yapmıştır. Bu ödeme, yaklaşımın sadece akademik ilgi değil, gerçek gelir üretebileceğini göstermektedir.
Bu, güvenlik ortamı için ne anlama geliyor
Otomatik istismar keşfi, güvenlik açığı ifşasının dinamiklerini değiştirebilir. Makineler kritik hataları insanlardan daha hızlı bulabilirse, yazılım satıcıları bir rapor artışı görebilir. Bu, hızlı yama yapma yeteneklerini zorlayabilir, ancak aynı zamanda uzun süre tespit edilmeyen daha az hata olduğu anlamına gelir.
250.000 dolarlık ödül aynı zamanda diğer otonom güvenlik firmaları için de riskleri artırıyor. Birkaç girişim benzer teknoloji inşa ediyor. GregoAI'nin ödemesi, piyasanın makine tarafından keşfedilen istismarları insan tarafından keşfedilenlerle aynı seviyede değerlendirdiğine dair net bir işarettir.
Sıradaki soru, bu tür ödüllerin kaçının daha geleceğidir. GregoAI, sistemini daha geniş kullanım için ölçeklendirmeyi mi yoksa tek başına avlanmaya devam etmeyi mi planladığını açıklamadı. Ancak sektör izliyor. Tek bir 250.000 dolarlık ödeme bir devrim yaratmaz, ancak makinenin güvenlik ekiplerini geceleri uykusuz bırakan türden bir hatayı bulabileceğini kanıtlıyor.
