Як працює система
Платформа GregoAI працює без безпосереднього втручання людини. Вона сканує додатки та системи на предмет потенційних слабких місць, а потім намагається перетворити ці слабкі місця на робочі експлойти. Саме цей звіт про експлойт подається до програми винагород за баги відповідної організації. Організація підтвердила знахідку та виплатила винагороду.
Компанія не назвала продукт, який містив баг, або організацію, яка виплатила винагороду. Відомо лише суму: $250,000. У світі баг-баунті це ставить цю знахідку в елітну категорію. Більшість винагород коливаються від кількох сотень до кількох тисяч доларів. Шестизначні винагороди є рідкістю і зазвичай призначаються за баги, які можуть дозволити зловмиснику отримати контроль над пристроєм або вкрасти конфіденційні дані.
Автономні дослідники проти людських
Традиційне полювання на вразливості здійснюється людьми, які вручну перевіряють код, запускають дебагери та тестують граничні випадки. Це потребує часу та досвіду. Автономні системи працюють інакше. Вони можуть працювати безперервно, тестуючи мільйони вхідних даних без втоми. Система GregoAI розроблена для навчання на кожному тесті, стаючи розумнішою в міру дослідження.
Компанія не оприлюднила технічні деталі свого підходу, але подібні системи часто поєднують фаззинг — бомбардування програми випадковими даними для виклику збоїв — з моделями машинного навчання, які передбачають, де найімовірніше ховаються баги. Коли система знаходить потенційну ваду, вона намагається створити експлойт, який демонструє серйозність багу. Така демонстрація є ключем до отримання високої винагороди.
Що $250,000 говорить про баг
Програми винагород за баги керуються такими компаніями, як Google, Microsoft, Apple та багатьма іншими. Кожна має власну шкалу виплат. Виплата в $250,000 свідчить про те, що вразливість вважалася критичною, ймовірно, дозволяючи віддалене виконання коду або повну компрометацію системи. Той факт, що її знайшла автономна система, свідчить про те, що такі системи тепер здатні зрівнятися або перевершити дослідників-людей у високоцінних цілях.
Для GregoAI ця винагорода слугує підтвердженням концепції. Компанія, ймовірно, інвестувала значні кошти в розробку автономної платформи. Ця виплата показує, що підхід може приносити реальний дохід, а не лише академічний інтерес.
Що це означає для ландшафту безпеки
Автоматизоване виявлення експлойтів може змінити динаміку розкриття вразливостей. Якщо машини можуть знаходити критичні баги швидше за людей, поста
