Yapay zekamız 27,7 milyon dolarlık kullanıcı fonunu nasıl kurtardı ve 250.000 dolarlık maksimum kritik ödülü nasıl kazandı
AI features
- Views
- 384K
- Likes
- 570
- Reposts
- 59
- Comments
- 27
- Bookmarks
- 412
TL;DR
Grego AI, muhakeme mimarisinin en iyi insan denetçiler tarafından gözden kaçırılan 27,7 milyon dolarlık kritik bir güvenlik açığını tespit etmesinin ardından gizlilikten çıktı. Sistem, sistem katmanları arasındaki karmaşık mantığı izlemek için derin değişmez analizi kullanıyor.
Reading the TÜRKÇE translation
Son iki yıldır üzerinde çalıştığımız yapay zeka sistemi, 27,7 milyon dolarlık bir istismarı engelledi. Proje bize 250.000 dolarlık bir ödül kazandırdı ve bu, tamamen yapay zeka tarafından bulunan bir güvenlik açığı için şimdiye kadar ödenen en büyük ödül oldu.
Aramayı hiçbir insan yönlendirmedi. Sistem kendi başına buldu. Dünyanın en iyi güvenlik araştırmacılarından oluşan ekibimizle doğruladık ve bildirdik.
Yapay zeka olimpiyat matematiğini çözüyor, yeni proteinler keşfediyor ve doktorları hastalık teşhisinde geride bırakıyor. Listeye bir tane daha ekledi.
Her şeyi başlatan tez
Bunu belirli bir tez üzerine inşa etmeye başladık. Herhangi bir insan denetçinin etkileşimli sistemler arasında ne kadar derine inebileceğinin bilişsel bir sınırı vardır. Dünyanın en iyi araştırmacıları, yaklaşık 4 ila 5 seviye sistem etkileşiminde bir tavana çıkmaza girer. Denetimlerden sağ kurtulan kritik hataların çoğu da bu tavanın altında yer alır.
Bu yüzden yapay zekanın bunu aşıp aşamayacağını öğrenmek istedik.
Yaptığımız şey başka bir tarayıcı değildi. Sizi yanlış pozitiflerle boğan başka bir ChatGPT sarmalayıcısı da değildi. Mevcut yapay zeka modellerinin üzerine, onları tasarlandıkları şeyin çok ötesine iten bir akıl yürütme mimarisi inşa ettik. Aynı anda 7'den fazla etkileşimli sistem katmanı boyunca mantık izleyen ve hiçbir insanın aramayı bile bilmediği güvenlik açıklarını bulan bir sistem.
Önde gelen yapay zeka laboratuvarlarındaki sınır modellerinin tümü temel bir akıl yürütme sınırlamasına sahiptir. Birçok etkileşimli sistem katmanı boyunca karmaşık mantığı tutamaz ve izleyemezler. Hiçbir laboratuvar bunu çözmedi. Biz çözdük. Aynı modeller için sistemimiz tamamen farklı bir çıktı seviyesi alıyor. Sanki model %30'da çalışıyordu ve kimse fark etmedi.
Nasıl dahil oldum
Yıllardır hata avlıyorum. Her nesil "yapay zeka güvenlik aracının" geldiğini gördüm. Bariz sorunları işaretleyen üst düzey tarayıcılar, size yüzlerce yanlış pozitif veren ChatGPT sarmalayıcıları. Hepsi zaman kaybı.
@0xitsgreg bana ne inşa ettiğini gösterdiğinde, her zamanki demoyu bekliyordum. Bunun yerine gördüğüm şey, her bir kod tabanında aşırı derin dalışlar yaparak en anlaşılmasılmaz ve bulunması en zor hataları ortaya çıkaran bir sistemdi.
Kurucu ortak ve CEO olarak katıldım.
Bulabileceğimiz en zor test alanı
Kriptoyu seçtik çünkü canlı bir protokolde bir güvenlik açığı istismar edildiğinde, gerçek para dakikalar içinde çekilir. "Gelecek çeyrekte yamalarız" diye bir şey yok. Ve en büyük protokoller, dünyanın en iyi firmaları tarafından 3, 4, 5 kez denetlendi.
Eğer sistemimiz onların kaçırdığı şeyi bulabilseydi, bu hayal edilebilecek en güçlü kanıt olurdu.
Son aylarda Ethereum, Lido, Chainlink, Aave, Uniswap, Polygon ve diğerlerinde doğrulanmış canlı güvenlik güvenlik açıkları buldu. Tüm bu protokoller milyarlarca doları güvence altına alıyor. Tümü daha önce en iyi firmalar tarafından birçok kez denetlendi. Her bulgu, tüm insan incelemeciler tarafından gözden kaçırıldı.
250.000 dolarlık bulgu
Sistem, Derin Değişmez Analiz (Deep Invariant Analysis) dediğimiz şeyi kullanarak büyük, yoğun şekilde denetlenmiş bir protokolü analiz etti. Kod tabanını aldı, her modülü, her bağımlılığı, sistemler arasındaki her etkileşimi haritaladı. Değişmezleri, yani asla bozulmaması gereken ancak belirli koşullar altında bozulabilecek şeyleri arayarak yürütme yollarını izledi.
Umut verici bir iplik bulduğunda, farklı açıları paralel olarak keşfetmek için bağlı alt ajanlar başlattı, bir kum havuzu açtı, kavram kanıtı istismarları yazdı, yineledi ve tamamen tekrarlanabilir hale gelene kadar saldırı yolunu iyileştirdi.
Sonra bize bildirim gönderdi.
Bulgu açtığımızda başka bir orta seviye uç durum bekliyorduk. Baktığımız şey, birden çok sistemin etkileşiminde kritik bir mantık hatasıydı. 27,7 milyon dolar değerindeki kullanıcı fonları, tek bir saldırıda doğrudan çekilme riski altındaydı.
Doğruladık ve @HackenProof aracılığıyla bildirdik. Protokol doğruladı, hemen yamaladı ve bize 250.000 dolarlık maksimum ciddiyet ödülü verdi.
Bunun anlamı
Kripto son zamanlarda birçok istismara tanık oldu ve çoğu zaman protokoller suçu başkalarına atıyor. Bu arada saldırganlar giderek daha sofistike hale geliyor, giderek daha fazla yapay zeka destekli hale geliyor ve güvenlik incelemesinin derinliği buna ayak uyduramadı.
Yalnızca insan güvenliğinin ulaşabileceği tavan yıllardır yerinde duruyor. Bu ödül, yapay zekanın artık bu tavanı kırabileceğinin kanıtı. Ve önde gelen yapay zeka laboratuvarlarından biri, ne inşa ettiğimizi keşfetmek için çoktan bize ulaştı.
Bugün gizlilikten çıkıyoruz. Kendimize @therealgregoai diyoruz. Daha yeni başlıyoruz.
Protokolünüz.
Protokolünüzün hangi güvenlik açıklarını gözden kaçırmış olabileceğini keşfetmek istiyorsanız, bana DM atın.
