Cách hệ thống hoạt động
Nền tảng của GregoAI hoạt động mà không cần sự can thiệp trực tiếp của con người. Nó quét các ứng dụng và hệ thống để tìm điểm yếu tiềm ẩn, sau đó cố gắng biến những điểm yếu đó thành các khai thác khả thi. Báo cáo khai thác đó được gửi đến chương trình tiền thưởng lỗi của tổ chức bị ảnh hưởng. Tổ chức đã xác minh phát hiện và trao thưởng.
Công ty chưa tiết lộ sản phẩm nào chứa lỗi hoặc tổ chức nào đã trả tiền thưởng. Điều được biết là số tiền: 250.000 đô la. Trong thế giới tiền thưởng lỗi, điều này đưa phát hiện này vào lãnh địa ưu tú. Hầu hết các phần thưởng dao động từ vài trăm đến vài nghìn đô la. Các khoản thưởng sáu con số rất hiếm và thường dành cho những lỗi có thể cho phép kẻ tấn công chiếm quyền điều khiển thiết bị hoặc đánh cắp dữ liệu nhạy cảm.
Nghiên cứu tự động so với nghiên cứu của con người
Việc săn lùng lỗ hổng truyền thống được thực hiện bởi những người kiểm tra mã thủ công, chạy trình gỡ lỗi và kiểm tra các trường hợp ngoại lệ. Nó đòi hỏi thời gian và chuyên môn. Các hệ thống tự động hoạt động khác. Chúng có thể chạy liên tục, kiểm tra hàng triệu đầu vào mà không mệt mỏi. Hệ thống của GregoAI được thiết kế để học hỏi từ mỗi lần kiểm tra, trở nên thông minh hơn khi nó thăm dò.
Công ty chưa công bố chi tiết kỹ thuật về cách tiếp cận của mình, nhưng các hệ thống tương tự thường kết hợp fuzzing — bắn phá chương trình bằng dữ liệu ngẫu nhiên để gây ra sự cố — với các mô hình học máy dự đoán nơi lỗi có khả năng ẩn náu nhất. Khi hệ thống tìm thấy một lỗ hổng tiềm ẩn, nó cố gắng tạo ra một khai thác chứng minh mức độ nghiêm trọng của lỗi. Việc chứng minh đó là chìa khóa để giành được tiền thưởng cao.
250.000 đô la nói lên điều gì về lỗi này
Các chương trình tiền thưởng lỗi được vận hành bởi các công ty như Google, Microsoft, Apple và nhiều công ty khác. Mỗi công ty có thang thưởng riêng. Khoản thanh toán 250.000 đô la cho thấy lỗ hổng được coi là nghiêm trọng, có khả năng cho phép thực thi mã từ xa hoặc chiếm toàn bộ hệ thống. Việc một hệ thống tự động tìm ra nó cho thấy các hệ thống như vậy hiện có khả năng sánh ngang hoặc vượt qua các nhà nghiên cứu con người trong các mục tiêu giá trị cao.
Đối với GregoAI, khoản tiền thưởng này đóng vai trò như một bằng chứng khái niệm. Công ty có thể đã đầu tư mạnh vào việc phát triển nền tảng tự động. Khoản thanh toán này cho thấy cách tiếp cận có thể tạo ra doanh thu thực sự, không chỉ là sự quan tâm học thuật.
Ý nghĩa đối với bối cảnh bảo mật
Việc phát hiện khai thác tự động có thể thay đổi động lực của việc tiết lộ lỗ hổng. Nếu máy móc có thể tìm ra lỗi nghiêm trọng nhanh hơn con người, các nhà cung cấp phần mềm có thể thấy sự gia tăng các báo cáo. Điều đó có thể gây áp lực lên khả năng vá lỗi nhanh chóng của họ, nhưng đồng thời cũng có nghĩa là ít lỗi bị phát hiện trong thời gian dài hơn.
Khoản tiền thưởng 250.000 đô la cũng nâng cao tầm vóc cho các công ty bảo mật tự động khác. Một số công ty khởi nghiệp đang xây dựng công nghệ tương tự. Khoản thanh toán của GregoAI là một tín hiệu rõ ràng rằng thị trường coi trọng các khai thác do máy phát hiện ngang bằng với các khai thác do con người phát hiện.
Câu hỏi tiếp theo là sẽ có bao nhiêu khoản tiền thưởng như vậy tiếp theo. GregoAI
