Comment notre IA a permis d'économiser 27,7 millions de dollars de fonds utilisateurs et a décroché une prime maximale de 250 000 dollars
AI features
- Views
- 384K
- Likes
- 570
- Reposts
- 59
- Comments
- 27
- Bookmarks
- 412
TL;DR
Grego AI sort de l'ombre après que son architecture de raisonnement a identifié une vulnérabilité critique de 27,7 millions de dollars, passée inaperçue auprès des meilleurs auditeurs humains. Le système utilise une analyse d'invariants approfondie pour retracer une logique complexe à travers les différentes couches du système.
Reading the FRANÇAIS translation
Le système d'IA que nous construisons depuis deux ans vient d'empêcher une exploitation de 27,7 millions de dollars. Le projet nous a attribué une prime de 250 000 dollars, la plus importante jamais versée pour une vulnérabilité découverte entièrementièrement par l'IA.
Aucun humain n'a guidé la recherche. Le système l'a trouvée tout seul. Nous l'avons validée avec notre équipe de chercheurs en sécurité de classe mondiale, et nous l'avons signalée.
L'IA a déjà résolu des problèmes de mathématiques olympiques, découvert de nouvelles protéines et battu des médecins dans le diagnostic de maladies. Elle vient d'ajouter une nouvelle corde à son arc.
La thèse qui a tout déclenché
Nous avons commencé à construire ce système sur la base d'une thèse spécifique. Il existe une limite cognitive à la profondeur avec laquelle un auditeur humain peut retracer les interactions entre systèmes. Les meilleurs chercheurs du monde atteignent un plafond d'environ 4 à 5 niveaux d'interactions système. Et la plupart des bugs critiques qui survivent aux audits se situent en dessous de ce plafond.
Nous voulions donc savoir si l'IA pouvait le dépasser.
Ce que nous avons construit n'est pas un autre scanner. Ni un énième wrapper ChatGPT qui vous inonde de faux positifs. Nous avons construit une architecture de raisonnement au-dessus des modèles d'IA existants, qui les pousse bien au-delà de ce pour quoi ils ont été conçus. Un système qui retrace la logique à travers 7 niveaux ou plus de systèmes en interaction simultanément, trouvant des vulnérabilités qu'aucun humain ne sait même qu'il faut chercher.
Les modèles de pointe des principaux laboratoires d'IA ont tous une limitation fondamentale de raisonnement. Ils ne peuvent pas contenir et retracer une logique complexe à travers de nombreuses couches de systèmes en interaction. Aucun laboratoire n'a résolu ce problème. Nous l'avons fait. Pour les mêmes modèles, notre système obtient un niveau de sortie complètement différent. C'est comme si le modèle fonctionnait à 30% et que personne ne l'avait remarqué.
Comment je me suis impliqué
Je chasse les bugs depuis des années. J'ai vu chaque génération d'« outil de sécurité IA » défiler. Des scanners haut niveau signalant des problèmes évidents, des wrappers ChatGPT vous donnant des centaines de faux positifs. Tout une perte de temps.
Quand @0xitsgreg m'a montré ce qu'il avait construit, je m'attendais à la démo habituelle. Ce que j'ai vu à la place, c'est un système qui effectuait des plongées extrêmement profondes dans chaque base de code pour dénicher les bugs les plus obscurs et introuvables.
J'ai rejoint en tant que co-fondateur et PDG.
L'épreuve la plus difficile que nous puissions trouver
Nous avons choisi la crypto parce que lorsqu'une vulnérabilité est exploitée sur un protocole en direct, de l'argent réel est drainé en quelques minutes. Il n'y a pas de « nous corrigerons ça au prochain trimestre ». Et les plus grands protocoles ont déjà été audités 3, 4, 5 fois par les meilleurs cabinets du monde.
Si notre système pouvait trouver ce qu'ils avaient tous manqué, ce serait la preuve la plus solide imaginable.
Au cours des derniers mois, il a trouvé des vulnérabilités confirmées en direct sur Ethereum, Lido, Chainlink, Aave, Uniswap, Polygon et d'autres. Tous ces protocoles sécurisent des milliards de dollars. Tous ont été audités à plusieurs reprises par les meilleures entreprises. Chaque découverte a été manquée par tous les examinateurs humains.
La découverte à 250 000 dollars
Le système a analysé un protocole majeur et lourdement audité en utilisant ce que nous appelons l'analyse invariante profonde. Il a ingéré la base de code, cartographié chaque module, chaque dépendance, chaque interaction entre les systèmes. Il a retracé les chemins d'exécution à la recherche d'invariants, des choses qui ne devraient jamais se briser mais pourraient le faire dans des conditions spécifiques.
Lorsqu'il a trouvé un fil prometteur, il a lancé des sous-agents connectés pour explorer différents angles en parallèle, a lancé un bac à sable, a écrit des preuves de concept d'exploitation, a itéré et a affiné le chemin d'attaque jusqu'à obtenir quelque chose de entièrement reproductible.
Puis il nous a contactés.
Nous avons ouvert la découverte en nous attendant à un autre cas limite de gravité moyenne. Ce que nous regardions était un défaut logique critique dans l'interaction de plusieurs systèmes. 27,7 millions de dollars de fonds d'utilisateurs directement menacés d'être drainés en une seule attaque.
Nous l'avons validée et signalée via @HackenProof. Le protocole a confirmé, a immédiatement corrigé et nous a attribué une prime de 250 000 dollars de gravité maximale.
Ce que cela signifie
La crypto a récemment assisté à de nombreuses exploitations, et la plupart du temps, les protocoles rejettent la faute. Pendant ce temps, les attaquants deviennent plus sophistiqués, de plus en plus assistés par l'IA, et la profondeur des revues de sécurité n'a pas suivi.
Le plafond de ce que la sécurité humaine seule peut atteindre a tenu pendant des années. Cette prime est la preuve que l'IA peut désormais le briser. Et nous avons déjà été approchés par l'un des principaux laboratoires d'IA pour explorer ce que nous avons construit.
Aujourd'hui, nous sortons de la clandestinité. Nous nous appelons @therealgregoai. Nous ne faisons que commencer.
Si vous voulez découvrir les vulnérabilités que votre protocole a pu manquer, envoyez-moi un message privé.
