Wawancara
Mitchell Amador, Pendiri dan CEO Immunefi – Seri Wawancara

Mitchell Amador, Pendiri dan CEO Immunefi, adalah seorang wirausaha keamanan blockchain yang terkemuka, investor malaikat, dan pemimpin pemikiran onchain. Ia mendirikan Immunefi, platform bug bounty dan keamanan terkemuka untuk ekosistem Web3, membantu mencegah lebih dari $25 miliar potensial peretasan dan pencurian sambil memajukan program bug bounty sebagai standar industri. Ia telah memainkan peran kunci dalam mengamankan protokol blockchain utama, berkontribusi pada inisiatif keamanan whitehat, dan juga mendirikan Instituto New Economy, sebuah think tank blockchain yang telah membantu memposisikan Portugal sebagai pusat inovasi blockchain terkemuka di Eropa.
Immunefi adalah platform keamanan Web3 terkemuka yang menghubungkan proyek blockchain dengan peretas etis melalui program bug bounty, tinjauan keamanan, dan layanan pengungkapan kerentanan. Perusahaan ini membantu melindungi miliaran dolar aset digital dengan memungkinkan organisasi untuk mengidentifikasi dan memperbaiki kerentanan keamanan kritis sebelum mereka dapat dieksploitasi, melayani banyak protokol blockchain dan proyek keuangan terdesentralisasi (DeFi) terbesar di dunia.
Sebelum mendirikan Immunefi, Anda membantu mengarahkan adopsi di perusahaan seperti SingularityNET dan Steemit dan terlibat dalam membentuk legislasi kripto awal Portugal. Apa yang membuat Anda yakin bahwa keamanan Web3 adalah masalah yang layak didedikasikan untuk karir Anda, dan apa celah di pasar yang Anda lihat saat meluncurkan Immunefi?
Perusahaan keamanan tradisional tidak bisa mengikuti kecepatan dan kompleksitas Web3, dan tidak ada platform tepercaya yang bisa menarik peneliti elit dalam skala besar sambil memberikan protokol kepercayaan bahwa pengungkapan akan ditangani secara profesional. Kami melihat kesempatan untuk membangun lapisan infrastruktur untuk keamanan Web3, menciptakan insentif yang sejalan antara proyek dan peneliti sambil membuat keamanan proaktif menjadi bagian inti dari cara industri beroperasi.
Anda membantu membangun Immunefi menjadi kekuatan dominan dalam keamanan Web3, melindungi ratusan miliar dolar aset dan menangani sebagian besar pengungkapan kerentanan kritis di kripto. Dengan melihat kembali perjalanan itu, apa pelajaran dari memperluas Immunefi yang mempengaruhi keputusan Anda untuk membawa pelanggan dan komunitas Code4rena ke dalam ekosistem Immunefi?
Salah satu pelajaran terbesar dari memperluas Immunefi adalah bahwa keamanan bekerja lebih baik ketika bakat terkonsentrasi daripada terfragmentasi. Membawa pelanggan dan peneliti Code4rena ke dalam ekosistem Immunefi memungkinkan kami untuk memperkuat kedua sisi pasar: peneliti mendapatkan akses ke lebih banyak kesempatan dan sumber daya, sementara proyek mendapatkan akses ke serangkaian layanan keamanan yang lebih luas yang didukung oleh jaringan peneliti terbesar di Web3.
Code4rena memainkan peran besar dalam mempopulerkan audit keamanan kompetitif di kripto. Apa yang Anda pikir akhirnya menyebabkan model bisnisnya menjadi sulit untuk dipertahankan, dan apa pelajaran yang lebih luas yang ditawarkannya untuk masa depan keamanan sumber terbuka?
Tantangan intinya bukanlah nilai audit kompetitif. Nilai itu tetap signifikan. Tantangan adalah membangun bisnis yang berkelanjutan di sekitar penawaran mandiri dalam lingkungan di mana harapan pelanggan telah berkembang.
Protokol semakin ingin memiliki solusi keamanan komprehensif daripada produk titik. Mereka ingin bug bounty, audit, intelijen ancaman, operasi keamanan, dan kemampuan respons insiden di bawah satu atap. Ketika pasar matang, menjadi lebih sulit bagi penyedia khusus untuk bersaing dengan platform yang dapat menawarkan tumpukan keamanan yang lebih luas.
Banyak peneliti keamanan melihat Code4rena memiliki budaya dan komunitas yang unik. Bagaimana Anda berencana untuk melestarikan apa yang membuat platform itu berharga sambil mengintegrasikan pengguna ke Immunefi?
Komunitasnya pada akhirnya yang membuat Code4rena sukses. Tujuannya bukan untuk menggantikan budaya itu, tetapi untuk menciptakan lingkungan di mana itu dapat terus berkembang dengan dukungan dan skala yang lebih besar. Fokusnya adalah pada kontinuitas daripada gangguan. Kami ingin peneliti merasa bahwa mereka mendapatkan akses ke platform yang lebih luas tanpa kehilangan aspek komunitas yang membuat mereka ingin berpartisipasi pada awalnya.
Audit keamanan tradisional sering bergantung pada sekelompok kecil peninjau, sementara kompetisi audit dapat menarik ratusan peneliti. Bagaimana Anda melihat kompetisi audit berkembang dalam lima tahun ke depan ketika AI semakin tertanam dalam alur kerja keamanan?
Apa yang kemungkinan akan kita lihat adalah pergeseran di mana AI menangani bagian yang semakin besar dari analisis berulang, pengenalan pola, dan triase awal, memungkinkan peneliti untuk menghabiskan lebih banyak waktu pada vektor serangan novel dan kerentanan sistem-level yang kompleks.
Evolusi itu sebenarnya membuat audit kompetitif lebih berharga. Jika ratusan peneliti dapat menggunakan alat AI yang semakin kuat, Anda menciptakan lingkungan di mana pendekatan yang beragam dapat diterapkan pada basis kode yang sama dengan skala yang belum pernah terjadi sebelumnya. Masa depan bukanlah AI menggantikan keamanan sumber terbuka. Ini adalah AI yang memperkuat efektivitas komunitas peneliti yang besar.
Salah satu kekhawatiran yang muncul yang Anda soroti adalah pengajuan spam yang dihasilkan AI. Seberapa serius masalah ini telah menjadi, dan apa yang itu ungkapkan tentang konsekuensi yang tidak diinginkan dari membuat alat AI canggih yang mudah diakses?
Masalahnya bukan bahwa AI menemukan terlalu banyak kerentanan. Masalahnya adalah bahwa AI dapat menghasilkan volume besar temuan yang meyakinkan tetapi pada akhirnya salah. Setiap pengajuan kualitas rendah menghabiskan waktu peninjau dan menciptakan overhead operasional.
Lebih luas, itu menunjukkan pola berulang dalam teknologi. Ketika alat kuat menjadi mudah diakses, baik aktivitas produktif maupun tidak produktif berskala secara bersamaan. Organisasi yang berhasil akan menjadi mereka yang membangun sistem yang dapat mengidentifikasi keahlian sejati dan temuan sejati di tengah volume output otomatis yang jauh lebih besar.
Apakah Anda percaya bahwa AI pada akhirnya akan meningkatkan kualitas penemuan kerentanan, atau apakah platform keamanan menghadapi perlombaan senjata yang panjang antara sistem AI yang semakin kuat dan banjir pengajuan otomatis yang dapat dihasilkannya?
Kedua hal itu benar.
AI akan tanpa ragu meningkatkan penemuan kerentanan. Kami sudah melihat peneliti menggunakan AI untuk mempercepat alur kerja, menganalisis basis kode yang lebih besar, dan mengidentifikasi vektor serangan potensial dengan lebih efisien daripada sebelumnya.
Pada saat yang sama, akan ada perlombaan senjata yang berkelanjutan antara sistem yang menghasilkan temuan dan sistem yang memvalidasi temuan. Pembeda utama tidak akan menjadi siapa yang dapat menghasilkan laporan terbanyak. Ini akan menjadi siapa yang dapat menghasilkan temuan dengan kepercayaan tertinggi.
Kita mulai melihat peneliti yang dibantu AI mengidentifikasi kerentanan lebih cepat daripada sebelumnya. Seberapa dekat kita dengan sistem AI yang secara mandiri menemukan, memvalidasi, dan bahkan memprioritaskan kerentanan kritis dengan keterlibatan manusia minimal?
Kita lebih dekat dengan fase penemuan daripada yang banyak orang sadari. AI sudah menjadi berguna untuk mengidentifikasi pola, meninjau kode, dan mengungkapkan kerentanan potensial.
Validasi tetap menjadi tantangan yang lebih sulit. Menemukan sesuatu yang mungkin merupakan kerentanan sangat berbeda dari membuktikan eksploitasi, memahami dampak bisnis, dan menilai tingkat keparahan dengan akurat. Tugas-tugas itu masih memerlukan penilaian manusia yang substansial.
Munculnya agen AI otonom menciptakan permukaan serangan yang sama sekali baru. Apa risiko keamanan yang terkait dengan agen AI yang Anda pikir saat ini kurang dinilai oleh baik industri Web3 maupun pasar perusahaan yang lebih luas?
Apa yang sering kurang dinilai adalah kompleksitas batas kepercayaan yang terlibat. Sistem agen tidak beroperasi dalam isolasi. Mereka mengonsumsi input dari berbagai sumber, berinteraksi dengan layanan pihak ketiga, dan membuat keputusan berdasarkan lingkungan dinamis. Setiap interaksi tersebut menciptakan permukaan serangan potensial.
Saya pikir banyak organisasi masih menerapkan asumsi keamanan perangkat lunak tradisional pada sistem yang berperilaku secara fundamental berbeda. Celah itu akan menjadi semakin penting ketika agen otonom mendapatkan wewenang operasional yang lebih luas.
Menghadap ke depan tiga hingga lima tahun, bagaimana Anda mengharapkan AI akan mengubah cara kerentanan ditemukan, dilaporkan, dan diminimalkan, dan apa peran yang Anda lihat peneliti keamanan manusia akan mainkan dalam masa depan itu?
AI akan secara dramatis mempercepat setiap tahap siklus keamanan. Kerentanan akan ditemukan lebih cepat, diurai lebih cepat, dan dalam banyak kasus diminimalkan lebih cepat daripada yang kita lihat hari ini. Tim keamanan akan memiliki akses ke intelijen dan otomatisasi yang jauh lebih banyak daripada sebelumnya.
Tapi saya tidak percaya bahwa masa depan adalah tempat di mana peneliti manusia menjadi tidak relevan. Jika ada, peran mereka menjadi lebih penting. Ketika AI menangani tugas rutin, keahlian manusia beralih ke memahami sistem novel, mengidentifikasi jalur serangan tidak konvensional, memvalidasi temuan kritis, dan membuat keputusan strategis keamanan.
Peneliti paling sukses tidak akan menjadi mereka yang bersaing melawan AI. Mereka akan menjadi mereka yang belajar untuk memanfaatkan AI sebagai pengganda kekuatan. Keamanan selalu menghargai kelenturan, dan itu akan tetap benar di masa depan yang didorong AI.
Terima kasih atas wawancara yang luar biasa, pembaca yang ingin mempelajari lebih lanjut dapat mengunjungi Immunefi.












