Come la nostra IA ha salvato 27,7 milioni di dollari di fondi degli utenti e ottenuto una ricompensa massima di 250.000 dollari
AI features
- Views
- 384K
- Likes
- 570
- Reposts
- 59
- Comments
- 27
- Bookmarks
- 412
TL;DR
Grego AI è uscita dalla fase di stealth dopo che la sua architettura di ragionamento ha identificato una vulnerabilità critica da 27,7 milioni di dollari sfuggita ai migliori revisori umani. Il sistema utilizza un'analisi profonda degli invarianti per tracciare la logica complessa attraverso i vari livelli del sistema.
Reading the ITALIANO translation
Il sistema di intelligenza artificiale che abbiamo costruito negli ultimi due anni ha appena prevenuto un exploit da 27,7 milioni di dollari. Il progetto ci ha assegnato una ricompensa di 250.000 dollari, la più alta mai pagata per una vulnerabilità scoperta interamente dall'amente dall'IA.
Nessun umano ha guidato la ricerca. Il sistema l'ha trovato la falla da solo. L'abbiamo validata con il nostro team di ricercatori di sicurezza di livello mondiale e l'abbiamo segnalata.
L'IA ha risolto problemi di matematica olimpica, scoperto nuove proteine e battuto i medici nella diagnosi delle malattie. Ora ha aggiunto un altro alla lista.
La tesi che ha dato il tutto
Abbiamo iniziato a costruire questo sistema partendo da una tesi precisa. Esiste un limite cognitivo alla profondità con cui un revisore umano può tracciare le interazioni tra sistemi. I migliori ricercatori al mondo raggiungono un tetto massimo a circa 4 o 5 livelli di interazioni. E la maggior parte dei bug critici che sopravvivono ai controlli si trova al di sotto di quel tetto.
Volevamo quindi scoprire se l'IA potesse superarlo.
Quello che abbiamo costruito non è un altro scanner. Non è un altro wrapper di ChatGPT che ti inonda di falsi positivi. Abbiamo creato un'architettura di ragionamento sopra i modelli di IA esistenti, spingendoli ben oltre ciò per cui sono stati progettati. Un sistema che traccia la logica attraverso 7+ livelli di sistemi interagenti simultaneamente, trovando vulnerabilità che nessun essere umano sa nemmeno di dover cercare.
I modelli all'avanguardia dei principali laboratori di IA hanno tutti una limitazione fondamentale nel ragionamento. Non riescono a mantenere e tracciare logiche complesse attraverso molti livelli di sistemi interagenti. Nessun laboratorio ha risolto questo problema. Noi sì. Con gli stessi modelli, il nostro sistema ottiene un livello di output completamente diverso. È come se il modello funzionasse al 30% e nessuno se ne fosse accorto.
Come sono stato coinvolto
Caccio bug da anni. Ho visto passare ogni generazione di "strumento di sicurezza basato sull'IA". Scanner di alto livello che segnalano problemi ovvi, wrapper di ChatGPT che ti danno centinaia di falsi positivi. Tutta una perdita di tempo.
Quando @0xitsgreg mi ha mostrato cosa aveva costruito, mi aspettavo la solita solita demo. Quello che ho visto, invece, era un sistema che eseguiva immersioni profonde estremamente profonde in ogni codice per scovare i bug più oscuri e introvabili.
Mi sono unito come co-fondatore e CEO.
Il campo di prova più difficile che potessimo trovare
Abbiamo scelto il settore crypto perché quando una vulnerabilità viene sfruttata su un protocollo live, i soldi veri vengono prosciugati in minuti. Non esiste un "lo sistemeremo il prossimo trimestre". E i protocolli più grandi sono già stati controllati 3, 4, 5 volte dalle migliori aziende del mondo.
Se il nostro sistema fosse in grado di trovare ciò che tutti loro avevano tutti, questa sarebbe la prova più forte immaginabile.
Negli ultimi mesi, ha trovato vulnerabilità live confermate in Ethereum, Lido, Chainlink, Aave, Uniswap, Polygon e altri. Tutti questi protocolli proteggono miliardi di dollari. Tutti controllati più volte in precedenza dalle migliori aziende. Ogni scoperta era sfuggita a tutti i revisori umani.
La scoperta da 250.000 dollari
Il sistema ha analizzato un protocollo importante e pesantemente controllato utilizzando quella che chiamiamo Deep Invariant Analysis (Deep Invariant Analysis). Ha esaminato il codice, mappato ogni modulo, ogni dipendenza, ogni interazione tra sistemi. Ha tracciato i percorsi di esecuzione alla ricerca di invarianti, cose che non dovrebbero mai rompersi ma potrebbero farlo in condizioni specifiche.
Quando ha trovato un filone promettente, ha attivato sotto-agenti connessi per esplorare diverse angolazioni in parallelo, ha lanciato una sandbox, scritto proof-of-concept degli exploit, iterato e perfezionato il percorso di attacco fino ad ottenere qualcosa di completamente riproducibile.
Poi ci ha avvisato.
Abbiamo aperto la segnalazione aspettandoci un altro caso limite di media gravità. Quello che avevamo davanti era un errore logico critico nell'interazione di più sistemi. 27,7 milioni di dollari di fondi degli utenti direttamente a rischio di essere prosciugati in un singolo attacco.
L'abbiamo validata e segnalata tramite @HackenProof. Il protocollo ha confermato, ha corretto immediatamente e ci ha assegnato una ricompensa massima di 250.000 dollari per la massima gravità.
Cosa significa
Il mondo crypto ha assistito a molti exploit recentemente, e per lo più i protocolli deviano la colpa. Nel frattempo, gli attaccanti diventano sempre più sofisticati, sempre più assistiti dall'IA, e la profondità dei controlli di sicurezza non è rimasta al passo.
Il tetto massimo raggiungibile dalla sola sicurezza umana è rimasto invariato per anni. Questa ricompensa è la prova che l'IA può ora superarlo. E siamo già stati contattati da uno dei principali laboratori di IA per esplorare ciò che abbiamo costruito.
Oggi usciamo dalla fase stealth. Ci chiamiamo @therealgregoai. Siamo solo all'inizio.
Se vuoi scoprire quali vulnerabilità il tuo protocollo potrebbe aver perso, scrivimi in DM.
