Grego AI : 250 000 $ pour une faille découverte par IA

Introduction

La startup de sécurité informatique Grego AI a officiellement lancé son activité avec une approche innovante utilisant les modèles d'IA existants pour détecter les vulnérabilités critiques dans les logiciels que les auditeurs humains et les outils automatisés traditionnels pourraient manquer.

Contexte Technique

Grego AI utilise une méthode appelée Deep Invariant Analysis, qui analyse l'ensemble d'un codebase et comprend comment chaque module et dépendance est lié. Des agents plus petits sont déployés dans des environnements de test, chacun suivant une voie différente à travers la pile. Lorsqu'un agent détecte une faiblesse potentielle, il crée un concept de preuve et le transmet.

La startup affirme que les bogues qu'elle est conçue pour détecter ne sont pas ceux que les développeurs repèrent lors d'une revue de code. Dans les grandes bases de code, les pires failles apparaissent souvent seulement lorsque cinq, six ou sept couches de dépendances commencent à se comporter de manière inattendue, ce qui dépasse la capacité de vision des auditeurs humains et des outils de test statiques et dynamiques existants.

Analyse et Implications

Grego AI a identifié et aidé à corriger une vulnérabilité dans un protocole de blockchain majeur qui, si elle était exploitée, aurait permis à un attaquant de drainer 27,7 millions de dollars. La correction a valu à l'entreprise un paiement de 250 000 dollars, décrit comme la plus grande prime de bogues jamais versée pour une faille découverte entièrement par un système d'IA.

Cette approche a des implications significatives pour la sécurité des logiciels, en particulier dans les domaines où les conséquences d'une faille de sécurité peuvent être graves, comme dans les protocoles de blockchain, les infrastructures financières, les systèmes de santé et les plateformes cloud.

Perspective

Grego AI vise à s'étendre au-delà des protocoles de blockchain pour cibler les logiciels d'entreprise conventionnels. La capacité de son système à repérer des failles complexes qui échappent aux méthodes traditionnelles ouvre de nouvelles perspectives pour améliorer la sécurité informatique. Cependant, il est crucial de surveiller les limites et les prochaines étapes de cette technologie, notamment en termes d'éthique et de régulation, pour garantir qu'elle soit utilisée à des fins de sécurité et non de malveillance.