Интервью
Митчелл Амадорм, основатель и генеральный директор Immunefi – Интервью

Митчелл Амадор, основатель и генеральный директор Immunefi, является известным предпринимателем в области безопасности блокчейна, ангельским инвестором и лидером мнений в области onchain. Он основал Immunefi, ведущую платформу для поиска ошибок и безопасности для экосистемы Web3, которая помогла предотвратить потенциальные хакерские атаки и кражи на сумму более 25 миллиардов долларов, а также способствовала развитию программ поиска ошибок как отраслевому стандарту. Он сыграл ключевую роль в обеспечении безопасности крупных протоколов блокчейна, внес вклад в инициативы по безопасности whitehat, и также основал Instituto New Economy, мозговой центр блокчейна, который помог позиционировать Португалию как ведущий европейский центр инноваций в области блокчейна.
Immunefi является ведущей платформой безопасности Web3, которая соединяет проекты блокчейна с этическими хакерами через программы поиска ошибок, обзоры безопасности и услуги по раскрытию уязвимостей. Компания помогает защитить миллиарды долларов цифровых активов, позволяя организациям выявлять и исправлять критические ошибки безопасности до того, как они могут быть использованы, обслуживая многие из крупнейших протоколов блокчейна и децентрализованных финансовых проектов (DeFi).
До основания Immunefi вы помогали стимулировать принятие технологий в компаниях seperti SingularityNET и Steemit, и были вовлечены в формирование ранней криптовалютной законодательства Португалии. Что убедило вас, что безопасность Web3 является проблемой, достойной посвящения вашей карьеры, и какую лакуну на рынке вы увидели при запуске Immunefi?
Традиционные компании безопасности не могли идти в ногу со скоростью и сложностью Web3, и не было доверенной платформы, которая могла бы привлечь элитных исследователей в крупном масштабе, одновременно давая протоколам уверенность в том, что раскрытия будут обработаны профессионально. Мы увидели возможность построить инфраструктурный слой для безопасности Web3, создавая согласованные стимулы между проектами и исследователями, а также делая проактивную безопасность неотъемлемой частью того, как работает отрасль.
Вы помогли построить Immunefi в доминирующую силу в безопасности Web3, защитив сотни миллиардов долларов активов и обработав большинство критических уязвимостей в криптовалютах. Оглядываясь назад на этот путь, какие уроки из масштабирования Immunefi повлияли на ваше решение привлечь клиентов и сообщество Code4rena в экосистему Immunefi?
Одним из самых больших уроков из масштабирования Immunefi является то, что безопасность работает лучше всего, когда таланты концентрируются, а не фрагментируются. Привлечение клиентов и исследователей Code4rena в экосистему Immunefi позволяет нам укрепить обе стороны рынка: исследователи получают доступ к большему количеству возможностей и ресурсов, а проекты получают доступ к более широкому спектру услуг безопасности, поддерживаемых крупнейшей сетью исследователей в Web3.
Code4rena сыграла значительную роль в популяризации конкурентных аудитов безопасности в криптовалютах. Что, по вашему мнению, в конечном итоге привело к тому, что ее бизнес-модель стала трудной для поддержания, и какие более широкие уроки это предлагает для будущего краудсорсинга безопасности?
Основная проблема не заключалась в ценности конкурентных аудитов. Эта ценность остается значительной. Проблема заключалась в построении устойчивого бизнеса вокруг отдельного предложения в среде, где ожидания клиентов эволюционировали.
Протоколы все чаще хотят комплексных решений безопасности, а не отдельных продуктов. Они хотят программ поиска ошибок, аудитов, угроз интеллекта, операций безопасности и реагирования на инциденты под одной крышей. По мере созревания рынка стало труднее для специализированных поставщиков конкурировать с платформами, которые могли предложить более широкий стек безопасности.
Многие исследователи безопасности рассматривали Code4rena как имеющую уникальную культуру и сообщество. Как вы планируете сохранить то, что сделало эту платформу ценной, интегрируя пользователей в Immunefi?
Сообщество в конечном итоге является тем, что сделало Code4rena успешной. Цель не состоит в том, чтобы заменить эту культуру, а в том, чтобы создать среду, в которой она может продолжать процветать с большей поддержкой и масштабом. Фокус заключается в непрерывности, а не в нарушении. Мы хотим, чтобы исследователи чувствовали, что они получают доступ к более широкой платформе, не теряя тех аспектов сообщества, которые заставили их участвовать в первую очередь.
Традиционные аудиты безопасности часто полагаются на относительно небольшую группу рецензентов, в то время как конкурентные аудиты могут привлечь сотни исследователей. Как вы видите эволюцию конкурентных аудитов в течение следующих пяти лет, когда ИИ становится все более встроенным в потоки безопасности?
То, что мы, вероятно, увидим, – это сдвиг, при котором ИИ будет обрабатывать все большую часть повторного анализа, распознавания образов и первоначальной сортировки, позволяя исследователям тратить больше времени на новые векторы атак и сложные системные уязвимости.
Эта эволюция на самом деле делает конкурентные аудиты более ценными. Если сотни исследователей могут использовать все более способные инструменты ИИ, вы создаете среду, в которой разные подходы могут быть применены к одному и тому же кодовому базису в беспрецедентном масштабе. Будущее не заключается в том, что ИИ заменяет краудсорсинговую безопасность. Это заключается в том, что ИИ усиливает эффективность крупных сообществ исследователей.
Одной из возникающих проблем, которую вы подчеркнули, является спам-подача, сгенерированная ИИ. Насколько серьезной стала эта проблема, и что она раскрывает о непредвиденных последствиях широкой доступности передовых инструментов ИИ?
Проблема не заключается в том, что ИИ находит слишком много уязвимостей. Проблема заключается в том, что он может генерировать большие объемы убедительных, но в конечном итоге неверных результатов. Каждая низкокачественная подача занимает время рецензента и создает операционные накладные расходы.
В более широком смысле это демонстрирует повторяющуюся закономерность в технологиях. Когда мощные инструменты становятся широко доступными, как продуктивная, так и непродуктивная деятельность масштабируются одновременно. Организации, которые преуспеют, будут теми, которые построили системы, способные эффективно выявлять настоящую экспертизу и настоящие результаты среди гораздо большего объема автоматизированного вывода.
Считаете ли вы, что ИИ в конечном итоге улучшит качество обнаружения уязвимостей или же платформы безопасности сталкиваются с долгосрочной гонкой вооружений между все более способными системами ИИ и наводнением низкокачественных автоматизированных подач, которые они могут генерировать?
Оба утверждения верны.
ИИ, безусловно, улучшит обнаружение уязвимостей. Мы уже видим, как исследователи используют ИИ для ускорения рабочих процессов, анализа более крупных кодовых баз и выявления потенциальных векторов атак более эффективно, чем раньше.
В то же время будет продолжаться гонка вооружений между системами, генерирующими результаты, и системами, проверяющими их. Ключевым различием не будет тот, кто может сгенерировать наибольшее количество отчетов. Это будет тот, кто может сгенерировать результаты с наивысшей степенью уверенности.
Мы начинаем видеть, как исследователи, использующие ИИ, выявляют уязвимости быстрее, чем когда-либо прежде. Насколько близко мы находимся к тому, чтобы ИИ-системы могли самостоятельно обнаруживать, проверять и даже расставлять приоритеты критических уязвимостей с минимальным участием человека?
Мы ближе к фазе обнаружения, чем многие люди осознают. ИИ уже становится полезным для выявления образов, обзора кода и выявления потенциальных уязвимостей.
Проверка остается более сложной задачей. Находка того, что может быть уязвимостью, очень отличается от доказательства эксплуатации, понимания бизнес-воздействия и точной оценки серьезности. Эти задачи все еще требуют значительного человеческого суждения.
Рост автономных агентов ИИ создает совершенно новые поверхности атаки. Какие риски безопасности, связанные с агентским ИИ, вы считаете, в настоящее время недооценены как отраслью Web3, так и более широким корпоративным рынком?
То, что часто недооценивается, – это сложность границ доверия, участвующих в этом процессе. Агентские системы не работают в изоляции. Они потребляют входные данные из нескольких источников, взаимодействуют с третьими сторонами и принимают решения на основе динамических сред. Каждое из этих взаимодействий создает потенциальную поверхность атаки.
Я думаю, что многие организации все еще применяют традиционные предположения о безопасности программного обеспечения к системам, которые фундаментально ведут себя иначе. Этот пробел станет все более важным по мере того, как автономные агенты получат более широкие полномочия.
Оглядываясь вперед на три-пять лет, как вы ожидаете, что ИИ преобразует способ, которым уязвимости обнаруживаются, сообщаются и смягчаются, и какую роль вы видите для человеческих исследователей безопасности в этом будущем?
ИИ существенно ускорит каждую стадию цикла безопасности. Уязвимости будут обнаружены быстрее, сортироваться быстрее и в многих случаях смягчаться быстрее, чем они делают это сегодня. Команды безопасности будут иметь доступ к гораздо большему количеству интеллекта и автоматизации, чем когда-либо прежде.
Но я не верю, что будущее – это то, где человеческие исследователи становятся нерелевантными. Если что-то и происходит, то их роль становится еще более важной. Когда ИИ обрабатывает рутинные задачи, человеческая экспертиза смещается в сторону понимания новых систем, выявления нестандартных путей атак, проверки критических результатов и принятия стратегических решений по безопасности.
Самые успешные исследователи не будут теми, кто конкурирует с ИИ. Это будут те, кто научится использовать ИИ как умножитель силы. Безопасность всегда вознаграждала адаптивность, и это останется верным в будущем, управляемом ИИ.
Спасибо за отличное интервью, читателям, которые хотят узнать больше, следует посетить Immunefi.












