Интервью
Митчелл Амадор, основатель и генеральный директор Immunefi – Интервью

Митчелл Амадор, основатель и генеральный директор Immunefi, является известным предпринимателем в области безопасности блокчейна, ангельским инвестором и мыслителем в области onchain. Он основал Immunefi, ведущую платформу bug bounty и безопасности для экосистемы Web3, которая помогла предотвратить более 25 миллиардов долларов потенциальных хаков и краж, а также продвигала программы bug bounty как отраслевой стандарт. Он сыграл ключевую роль в обеспечении безопасности крупных протоколов блокчейна, внес вклад в инициативы по безопасности whitehat, и также основал Instituto New Economy, блокчейн-центр, который помог позиционировать Португалию как ведущий европейский хаб для инноваций в области блокчейна.
Immunefi является ведущей платформой безопасности Web3, которая соединяет проекты блокчейна с этическими хакерами через программы bug bounty, обзоры безопасности и услуги по раскрытию уязвимостей. Компания помогает защитить миллиарды долларов цифровых активов, позволяя организациям выявлять и исправлять критические уязвимости безопасности до того, как они могут быть использованы, обслуживая многие из крупнейших протоколов блокчейна и децентрализованных финансовых (DeFi) проектов.
До основания Immunefi вы помогали продвигать принятие технологий в компаниях như SingularityNET и Steemit, и были вовлечены в формирование ранней криптовалютной законодательства в Португалии. Что убедило вас, что безопасность Web3 является проблемой, достойной того, чтобы посвятить ей свою карьеру, и какую пробел на рынке вы увидели при запуске Immunefi?
Традиционные компании безопасности не могли идти в ногу со скоростью и сложностью Web3, и не было доверенной платформы, которая могла бы привлечь элитных исследователей в крупном масштабе, а также дать протоколам уверенность в том, что раскрытия будут обработаны профессионально. Мы увидели возможность построить инфраструктурный слой для безопасности Web3, создавая согласованные стимулы между проектами и исследователями, а также делая проактивную безопасность неотъемлемой частью того, как работает отрасль.
Вы помогли построить Immunefi в доминирующую силу в безопасности Web3, защитив сотни миллиардов долларов активов и обработав большинство критических уязвимостей в криптовалюте. Оглядываясь назад на этот путь, какие уроки из опыта Immunefi повлияли на ваше решение привлечь клиентов и сообщество Code4rena в экосистему Immunefi?
Одним из самых больших уроков из опыта Immunefi является то, что безопасность работает лучше всего, когда таланты концентрируются, а не фрагментируются. Привлечение клиентов и исследователей Code4rena в экосистему Immunefi позволяет нам укрепить обе стороны рынка: исследователи получают доступ к большему количеству возможностей и ресурсов, а проекты получают доступ к более широкому спектру услуг безопасности, поддерживаемых крупнейшей сетью исследователей в Web3.
Code4rena сыграла значительную роль в популяризации конкурентных аудитов безопасности в криптовалюте. Что, по вашему мнению, в конечном итоге привело к тому, что ее бизнес-модель стала трудной для поддержания, и какие более широкие уроки это предлагает для будущего краудсорсинговой безопасности?
Основная проблема не заключалась в ценности конкурентных аудитов. Эта ценность остается значительной. Проблема заключалась в построении устойчивого бизнеса вокруг отдельного предложения в среде, где ожидания клиентов эволюционировали.
Протоколы все чаще хотят комплексных решений безопасности, а не отдельных продуктов. Они хотят программ bug bounty, аудитов, угроз интеллекта, операций безопасности и реагирования на инциденты под одной крышей. По мере созревания рынка стало труднее для специализированных поставщиков конкурировать с платформами, которые могут предложить более широкий стек безопасности.
Многие исследователи безопасности рассматривали Code4rena как имеющую уникальную культуру и сообщество. Как вы планируете сохранить то, что сделало эту платформу ценной, интегрируя пользователей в Immunefi?
Сообщество в конечном итоге является тем, что сделало Code4rena успешной. Цель не состоит в том, чтобы заменить эту культуру, а в создании среды, в которой она может продолжать процветать с большей поддержкой и масштабом. Фокус заключается на непрерывности, а не на разрушении. Мы хотим, чтобы исследователи чувствовали, что они получают доступ к более широкой платформе, не теряя при этом аспектов сообщества, которые заставили их участвовать в первую очередь.
Традиционные аудиты безопасности часто полагаются на относительно небольшую группу рецензентов, в то время как конкурентные аудиты могут привлечь сотни исследователей. Как вы видите эволюцию конкурентных аудитов в течение следующих пяти лет, когда AI становится все более интегрированным в потоки безопасности?
То, что мы, вероятно, увидим, это сдвиг, при котором AI будет обрабатывать все большую часть повторяющегося анализа, распознавания образов и первоначальной сортировки, позволяя исследователям тратить больше времени на новые векторы атак и сложные системные уязвимости.
Эта эволюция на самом деле делает конкурентные аудиты более ценными. Если сотни исследователей могут использовать все более способные инструменты AI, вы создаете среду, в которой разные подходы могут быть применены к одному и тому же кодовому базису в беспрецедентном масштабе. Будущее не заключается в том, что AI заменяет краудсорсинговую безопасность. Это заключается в том, что AI усиливает эффективность крупных сообществ исследователей.
Одной из возникающих проблем, которые вы подчеркнули, является проблема спам-сабмиссий, сгенерированных AI. Насколько серьезной стала эта проблема, и что она раскрывает о непредвиденных последствиях широкой доступности передовых инструментов AI?
Проблема не заключается в том, что AI находит слишком много уязвимостей. Проблема заключается в том, что она может генерировать большие объемы убедительных, но в конечном итоге неверных результатов. Каждая низкокачественная заявка потребляет время рецензента и создает операционные накладные расходы.
Более широко, это демонстрирует повторяющуюся закономерность в технологиях. Когда мощные инструменты становятся широко доступными, как продуктивная, так и непродуктивная деятельность масштабируются одновременно. Организации, которые преуспеют, будут теми, которые строят системы, способные эффективно выявлять настоящую экспертизу и настоящие результаты среди гораздо большего объема автоматизированного вывода.
Считаете ли вы, что AI в конечном итоге улучшит качество обнаружения уязвимостей, или платформы безопасности сталкиваются с долгосрочной гонкой вооружений между все более способными системами AI и наводнением низкокачественных автоматизированных заявок, которые они могут генерировать?
Оба утверждения верны.
AI, безусловно, улучшит обнаружение уязвимостей. Мы уже видим, как исследователи используют AI для ускорения рабочих процессов, анализа более крупных кодовых баз и выявления потенциальных векторов атак более эффективно, чем раньше.
В то же время будет продолжаться гонка вооружений между системами, генерирующими результаты, и системами, проверяющими их. Ключевым различием не будет тот, кто может сгенерировать наибольшее количество отчетов. Это будет тот, кто может сгенерировать результаты с наивысшей степенью уверенности.
Мы начинаем видеть, как исследователи, использующие AI, выявляют уязвимости быстрее, чем когда-либо прежде. Насколько близко мы находимся к тому, чтобы AI-системы самостоятельно обнаруживали, проверяли и даже расставляли приоритеты критических уязвимостей с минимальным участием человека?
Мы ближе к фазе обнаружения, чем многие люди осознают. AI уже становится полезным для выявления образов, обзора кода и выявления потенциальных уязвимостей.
Проверка остается более сложной задачей. Найти что-то, что может быть уязвимостью, очень отличается от доказательства эксплуатации, понимания бизнес-воздействия и точной оценки серьезности. Эти задачи все еще требуют значительного человеческого суждения.
Рост автономных агентов AI создает совершенно новые поверхности атак. Какие риски безопасности, связанные с агентными AI, вы считаете в настоящее время недооцененными как отраслью Web3, так и более широким корпоративным рынком?
То, что часто недооценивается, это сложность границ доверия, участвующих в этом процессе. Агентные системы не работают в изоляции. Они потребляют входные данные из нескольких источников, взаимодействуют с третьими сторонами и принимают решения на основе динамических сред. Каждое из этих взаимодействий создает потенциальную поверхность атаки.
Я думаю, что многие организации все еще применяют традиционные предположения о безопасности программного обеспечения к системам, которые фундаментально ведут себя иначе. Этот разрыв станет все более важным по мере того, как автономные агенты получат более широкие полномочия.
Оглядываясь вперед на три-пять лет, как вы ожидаете, что AI преобразует способ, которым уязвимости обнаруживаются, сообщаются и смягчаются, и какую роль вы видите для человеческих исследователей безопасности в этом будущем?
AI значительно ускорит каждую стадию цикла безопасности. Уязвимости будут обнаружены быстрее, сортироваться быстрее и в многих случаях смягчаться быстрее, чем они делают это сегодня. Команды безопасности будут иметь доступ к гораздо большему количеству интеллекта и автоматизации, чем когда-либо прежде.
Но я не считаю, что будущее является таким, в котором человеческие исследователи становятся нерелевантными. Если что-то и меняется, то роль человеческой экспертизы становится еще более важной. По мере того, как AI обрабатывает рутинные задачи, человеческая экспертиза смещается в сторону понимания новых систем, выявления нестандартных путей атак, проверки критических результатов и принятия стратегических решений по безопасности.
Самые успешные исследователи не будут теми, кто конкурирует с AI. Это будут те, кто научится использовать AI как умножитель силы. Безопасность всегда вознаграждала адаптивность, и это останется верным в будущем, управляемом AI.
Спасибо за отличное интервью, читателям, которые хотят узнать больше, следует посетить Immunefi.












