कैसे हमारे AI ने उपयोगकर्ताओं के $27.7M बचाए और $250,000 का अधिकतम क्रिटिकल बाउंटी पुरस्कार जीता
AI features
- Views
- 384K
- Likes
- 570
- Reposts
- 59
- Comments
- 27
- Bookmarks
- 412
TL;DR
Grego AI ने अपनी रीजनिंग आर्किटेक्चर के साथ स्टील्थ मोड से बाहर कदम रखा है, जिसने $27.7M की एक ऐसी क्रिटिकल भेद्यता (vulnerability) की पहचान की, जिसे शीर्ष मानव ऑडिटर्स भी नहीं देख पाए थे। यह सिस्टम जटिल लॉजिक को सिस्टम लेयर्स के आर-पार ट्रैक करने के लिए डीप इनवेरिएंट एनालिसिस का उपयोग करता है।
Reading the हिन्दी translation
हम पिछले दो वर्षों से जो AI सिस्टम बना रहे हैं, उसने अभी-अभी $27.7 मिलियन के एक एक्सप्लॉइट को रोका है। परियोजना ने हमें $250,000 का बाउंटी दिया, जो पूरी तरह से AI द्वारा खोरा खोजी गई भेद्यता के लिए अब तक का सबसे बड़ा भुगतान है।
किसी मानव ने खोज का मार्गदर्शन नहीं किया। सिस्टम ने इसे अपने आप पाया। हमने इसे अपनी विश्व-स्तरीय सुरक्षा शोधकर्ताओं की टीम के साथ मान्य किया और रिपोर्ट किया।
AI ओलंपियाड गणित हल कर रहा है, नए प्रोटीन खोज रहा है, और बीमारियों के निदान में डॉक्टरों को हरा रहा है। इसने अभी एक और उपलब्धि जोड़ ली है।
वह थीसिस जिसने सब कुछ शुरू किया
हमने इसे एक विशिष्ट थीसिस पर बनाना शुरू किया। किसी मानव ऑडिटर इंटरैक्टिंग सिस्टम के माध्यम से कितनी गहराई तक ट्रेस कर सकता है, इसकी एक संज्ञानात्मक सीमा है। दुनिया के सबसे अच्छे शोधकर्ता लगभग 4 से 5 स्तरों की सिस्टम इंटरैक्शन पर एक सीमा तक पहुंच जाते हैं। और ऑडिट में बचने वाले अधिकांश महत्वपूर्ण बग उस सीमा के नीचे रहते हैं।
तो हम यह जानना चाहते थे कि क्या AI उस सीमा को पार कर सकता है।
जो हमने बनाया वह कोई और स्कैनर नहीं था। कोई और ChatGPT रैपर नहीं जो आपको फाल्स पॉजिटिव से भर दे। हमने मौजूदा AI मॉडल के ऊपर एक तर्क आर्किटेक्चर बनाया जो उन्हें उनकी डिजाइन सीमा से कहीं आगे धकेलता है। एक ऐसा सिस्टम जो 7+ परतों के इंटरैक्टिंग सिस्टम में तर्क को ट्रेस करता है, ऐसी भेद्यताएं ढूंढता है जिन्हें कोई मानव जानता भी नहीं है कि देखना चाहिए।
अग्रणी AI लैब के फ्रंटियर मॉडल में एक मौलिक तर्क सीमा है। वे कई परतों के इंटरैक्टिंग सिस्टम में जटिल तर्क को धारण और ट्रेस नहीं कर सकते। किसी लैब ने इसे हल नहीं किया। हमने किया। उन्हीं मॉडलों के लिए, हमारा सिस्टम पूरी तरह से अलग स्तर का आउटपुट देता है। ऐसा लगता है जैसे मॉडल 30% पर चल रहा था और किसी ने ध्यान नहीं दिया।
मैं कैसे शामिल हुआ
मैं वर्षों से बग हंट कर रहा हूं। मैंने 'AI सुरक्षा टूल' की हर पीढ़ी को आते देखा है। उच्च-स्तरीय स्कैनर स्पष्ट मुद्दों को फ्लैग करते हैं, ChatGPT रैपर आपको सैकड़ों फाल्स पॉजिटिव देते हैं। सब समय की बर्बादी।
जब @0xitsgreg ने मुझे दिखाया कि उसने क्या बनाया बनाया है, तो मुझे सामान्य डेमो की उम्मीद थी। इसके बजाय मैंने एक ऐसा सिस्टम देखा जो प्रत्येक कोडबेस में अत्यधिक गहराई से गोता लगाकर सबसे अस्पष्ट और अप्राप्य बग खोद निकालता था।
मैं सह-संस्थापक और CEO के रूप में शामिल हुआ।
सबसे कठिन परीक्षण क्षेत्र जो हम पा सकते थे
हमने क्रिप्टो को चुना क्योंकि जब किसी लाइव प्रोटोकॉल पर भेद्यता का शोषण होता है, तो मिनटों में असली पैसा निकल जाता है। कोई 'हम अगली तिमाही में पैच कर देंगे' नहीं होता। और सबसे बड़े प्रोटोकॉल पहले ही दुनिया की सबसे अच्छी फर्मों द्वारा 3, 4, 5 बार ऑडिट किए जा चुके हैं।
अगर हमारा सिस्टम वह ढूंढ सका जो वे सब चूक गए, तो यह सबसे मजबूत सबूत होगा जिसकी कल्पना की जा सकती है।
पिछले महीनों में, इसने Ethereum, Lido, Chainlink, Aave, Uniswap, Polygon और अन्य में पुष्टि की गई लाइव भेद्यताएं पाई हैं। ये सभी प्रोटोकॉल अरबों डॉलर सुरक्षित कर रहे हैं। सभी पहले शीर्ष फर्मों द्वारा कई बार ऑडिट किए गए। हर खोज सभी मानव समीक्षकों द्वारा छूट गई थी।
$250,000 की खोज
सिस्टम ने Deep Invariant Analysis नामक हमारी विधि का उपयोग करके एक बड़े, भारी ऑडिट किए गए प्रोटोकॉल का विश्लेषण किया। इसने कोडबेस को ग्रहण किया, हर मॉड्यूल, हर निर्भरता, सिस्टम के बीच हर इंटरैक्शन को मैप किया। इसने इनवेरिएंट की तलाश में निष्पादन पथों को ट्रेस किया, ऐसी चीजें जो कभी नहीं टूटनी चाहिए लेकिन विशिष्ट परिस्थितियों में टूट सकती हैं।
जब इसे एक आशाजन सूत्र मिला, तो इसने समानांतर में विभिन्न कोणों का पता लगाने के लिए जुड़े उप-एजेंटों को सक्रिय किया, एक सैंडबॉक्स लॉन्च किया, प्रूफ-ऑफ-कॉन्सेप्ट एक्सप्लॉइट लिखे, पुनरावृत्ति की, और हमले के पथ को तब तक परिष्कृत किया जब तक उसके पास पूरी तरह से प्रतिलिपि योग्य कुछ न था।
फिर इसने हमें पिंग किया।
हमने एक और मध्यम-गंभीरता के एज केस की उम्मीद में खोज खोली। हम जो देख रहे थे वह कई सिस्टमों के इंटरैक्शन में एक गंभीर तर्क दोष था। एक ही हमले में उपयोगकर्ता के $27.7M के फंड सीधे निकाले जाने के जोखिम में थे।
हमने इसे मान्य किया और @HackenProof के माध्यम से रिपोर्ट किया। प्रोटोकॉल ने पुष्टि की, तुरंत पैच किया, और हमेंट किया, और हमें $250,000 का अधिकतम-गंभीरता बाउंटी दिया।
इसका क्या मतलब है
क्रिप्टो ने हाल ही में कई एक्सप्लॉइट देखे हैं, और अधिकांशतः प्रोटोकॉल दोष को टालते हैं। इस बीच हमलावर अधिक परिष्कृत हो रहे हैं, तेजी से AI-सहायता प्राप्त हो रहे हैं, और सुरक्षा समीक्षा की गहराई नहीं बढ़ पाई है।
मानव-केवल सुरक्षा जितनी ऊंचाई तक पहुंच सकती है, वह सीमा वर्षों से बनी हुई है। यह बाउंटी इस बात का सबूत है कि AI अब उसे तोड़ सकता है। और हमसे पहले हीुख्य AI लैब में से एक ने संपर्क किया है किया है कि हमने क्या बनाया है।
आज हम स्टील्थ से बाहर आ रहे हैं। हम खुद को @therealgregoai कहते हैं। हम अभी शुरू ही कर रहे हैं।
यदि आप जानना चाहते हैं कि आपके प्रोटोकॉल में कौन सी भेद्यताएं छूट गई होंगी, तो मुझे DM करें।
