Phỏng vấn

Mitchell Amador, Người sáng lập và Giám đốc điều hành của Immunefi – Loạt phỏng vấn

mm

Mitchell Amador, Người sáng lập và Giám đốc điều hành của Immunefi, là một doanh nhân an ninh blockchain nổi bật, nhà đầu tư thiên thần và người lãnh đạo suy nghĩ trên chuỗi. Ông đã thành lập Immunefi, nền tảng bug bounty và an ninh hàng đầu cho hệ sinh thái Web3, giúp ngăn chặn hơn 25 tỷ đô la tiềm năng bị hack và đánh cắp trong khi thúc đẩy các chương trình bug bounty như một tiêu chuẩn ngành. Ông đã đóng một vai trò quan trọng trong việc bảo mật các giao thức blockchain chính, đóng góp vào các sáng kiến an ninh trắng và cũng thành lập Instituto New Economy, một tổ chức tư vấn blockchain đã giúp định vị Bồ Đào Nha như một trung tâm hàng đầu của châu Âu về đổi mới blockchain.

Immunefi là một nền tảng an ninh Web3 hàng đầu kết nối các dự án blockchain với các hacker đạo đức thông qua các chương trình bug bounty, đánh giá an ninh và dịch vụ tiết lộ lỗ hổng. Công ty giúp bảo vệ hàng tỷ đô la tài sản kỹ thuật số bằng cách cho phép các tổ chức xác định và sửa các lỗ hổng an ninh quan trọng trước khi chúng có thể bị khai thác, phục vụ nhiều giao thức blockchain và dự án tài chính phi tập trung (DeFi) lớn nhất thế giới.

Trước khi thành lập Immunefi, bạn đã giúp thúc đẩy việc áp dụng tại các công ty như SingularityNET và Steemit và đã tham gia vào việc định hình luật pháp tiền điện tử đầu tiên của Bồ Đào Nha. Điều gì đã thuyết phục bạn rằng an ninh Web3 là vấn đề đáng để dành sự nghiệp của bạn, và bạn đã thấy khoảng trống nào trên thị trường khi ra mắt Immunefi?

Các công ty an ninh truyền thống không thể theo kịp tốc độ và sự phức tạp của Web3, và không có nền tảng đáng tin cậy nào có thể thu hút các nhà nghiên cứu tinh hoa với quy mô lớn trong khi mang lại sự tự tin cho các giao thức rằng việc tiết lộ sẽ được xử lý một cách chuyên nghiệp. Chúng tôi đã thấy một cơ hội để xây dựng lớp cơ sở hạ tầng cho an ninh Web3, tạo ra các động lực tương đồng giữa các dự án và nhà nghiên cứu trong khi biến an ninh chủ động thành một phần cốt lõi của cách ngành công nghiệp hoạt động.

Bạn đã giúp xây dựng Immunefi thành lực lượng thống trị trong an ninh Web3, bảo vệ hàng trăm tỷ đô la tài sản và xử lý phần lớn các tiết lộ lỗ hổng quan trọng trong tiền điện tử. Nhìn lại hành trình đó, những bài học từ việc mở rộng Immunefi đã ảnh hưởng đến quyết định của bạn trong việc đưa khách hàng và cộng đồng của Code4rena vào hệ sinh thái Immunefi?

Một trong những bài học lớn nhất từ việc mở rộng Immunefi là an ninh hoạt động tốt nhất khi tài năng được tập trung chứ không bị phân mảnh. Việc đưa khách hàng và nhà nghiên cứu của Code4rena vào hệ sinh thái Immunefi cho phép chúng tôi tăng cường cả hai bên của thị trường: nhà nghiên cứu có được quyền truy cập vào nhiều cơ hội và tài nguyên hơn, trong khi các dự án có được quyền truy cập vào một loạt các dịch vụ an ninh rộng lớn hơn được hỗ trợ bởi mạng lưới nhà nghiên cứu lớn nhất trong Web3.

Code4rena đã đóng một vai trò quan trọng trong việc phổ biến các cuộc kiểm toán an ninh cạnh tranh trong tiền điện tử. Bạn nghĩ điều gì cuối cùng đã khiến mô hình kinh doanh của nó trở nên khó duy trì, và những bài học rộng lớn hơn nào mà nó mang lại cho tương lai của an ninh được phân phối?

Thử thách cốt lõi không phải là giá trị của các cuộc kiểm toán cạnh tranh. Giá trị đó vẫn còn đáng kể. Thử thách là xây dựng một doanh nghiệp bền vững xung quanh một dịch vụ độc lập trong một môi trường mà kỳ vọng của khách hàng đã thay đổi.

Các giao thức ngày càng muốn có các giải pháp an ninh toàn diện chứ không phải sản phẩm điểm. Họ muốn bug bounty, kiểm toán, thông tin về mối đe dọa, hoạt động an ninh và khả năng ứng phó sự cố dưới một mái nhà. Khi thị trường trưởng thành, nó trở nên khó khăn hơn cho các nhà cung cấp chuyên biệt để cạnh tranh với các nền tảng có thể cung cấp một ngăn xếp an ninh rộng lớn hơn.

Nhiều nhà nghiên cứu an ninh coi Code4rena là một nền văn hóa và cộng đồng độc đáo. Bạn dự định sẽ bảo tồn những gì đã khiến nền tảng đó có giá trị trong khi tích hợp người dùng vào Immunefi?

Cộng đồng cuối cùng là điều đã khiến Code4rena thành công. Mục tiêu là không thay thế văn hóa đó mà tạo ra một môi trường mà nó có thể tiếp tục phát triển với sự hỗ trợ và quy mô lớn hơn. Tập trung vào tính liên tục chứ không phải gián đoạn. Chúng tôi muốn các nhà nghiên cứu cảm thấy rằng họ đang có được quyền truy cập vào một nền tảng rộng lớn hơn mà không mất đi những khía cạnh của cộng đồng đã khiến họ muốn tham gia từ đầu.

Các cuộc kiểm toán an ninh truyền thống thường dựa trên một nhóm nhỏ các người xem xét, trong khi các cuộc thi kiểm toán có thể thu hút hàng trăm nhà nghiên cứu. Bạn thấy các cuộc thi kiểm toán sẽ phát triển như thế nào trong năm năm tới khi AI ngày càng được tích hợp vào các quy trình an ninh?

Điều chúng tôi có thể sẽ thấy là một sự thay đổi mà AI sẽ xử lý một phần lớn hơn của phân tích lặp đi lặp lại, nhận dạng mẫu và phân loại ban đầu, cho phép các nhà nghiên cứu dành nhiều thời gian hơn cho các vectơ tấn công mới và các lỗ hổng hệ thống phức tạp.

Sự tiến hóa đó thực sự làm cho các cuộc kiểm toán cạnh tranh trở nên có giá trị hơn. Nếu hàng trăm nhà nghiên cứu có thể tận dụng các công cụ AI ngày càng mạnh mẽ, bạn sẽ tạo ra một môi trường mà các phương pháp tiếp cận đa dạng có thể được áp dụng cho cùng một cơ sở mã tại quy mô chưa từng có. Tương lai không phải là AI thay thế an ninh được phân phối. Đó là AI khuếch đại hiệu quả của các cộng đồng nhà nghiên cứu lớn.

Một trong những mối quan ngại mới nổi mà bạn đã nhấn mạnh là các bản gửi spam được tạo bởi AI. Vấn đề này nghiêm trọng đến mức nào và nó tiết lộ điều gì về những hậu quả không lường trước của việc làm cho các công cụ AI tiên tiến dễ tiếp cận?

Vấn đề không phải là AI tìm thấy quá nhiều lỗ hổng. Vấn đề là nó có thể tạo ra một lượng lớn các phát hiện thuyết phục nhưng cuối cùng không chính xác. Mỗi bản gửi chất lượng thấp tiêu thụ thời gian của người xem xét và tạo ra chi phí hoạt động.

Nói rộng ra, nó chứng tỏ một mẫu lặp đi lặp lại trong công nghệ. Khi các công cụ mạnh mẽ trở nên dễ tiếp cận, cả hoạt động sản xuất và không sản xuất đều tăng tỷ lệ tương tự. Các tổ chức thành công sẽ là những tổ chức xây dựng các hệ thống có khả năng xác định chuyên môn thực sự và các phát hiện thực sự trong một lượng đầu ra tự động lớn hơn nhiều.

Bạn có tin rằng AI cuối cùng sẽ cải thiện chất lượng của việc phát hiện lỗ hổng, hay các nền tảng an ninh đang đối mặt với một cuộc chạy đua vũ trang lâu dài giữa các hệ thống AI ngày càng mạnh mẽ và lũ bản gửi tự động chất lượng thấp mà chúng có thể tạo ra?

Cả hai điều đều đúng.

AI sẽ không thể nghi ngờ cải thiện việc phát hiện lỗ hổng. Chúng tôi đã thấy các nhà nghiên cứu sử dụng AI để tăng tốc các quy trình làm việc, phân tích các cơ sở mã lớn hơn và xác định các vectơ tấn công tiềm năng hiệu quả hơn trước đây.

Đồng thời, sẽ có một cuộc chạy đua vũ trang liên tục giữa các hệ thống tạo ra các phát hiện và các hệ thống xác thực chúng. Sự khác biệt chính sẽ không phải là ai có thể tạo ra nhiều báo cáo nhất. Đó sẽ là ai có thể tạo ra các phát hiện có độ tin cậy cao nhất.

Chúng ta đang bắt đầu thấy các nhà nghiên cứu hỗ trợ bởi AI xác định lỗ hổng nhanh hơn bao giờ hết. Chúng ta đang gần đến mức AI có thể độc lập phát hiện, xác thực và thậm chí ưu tiên các lỗ hổng quan trọng với sự can thiệp tối thiểu của con người?

Chúng tôi gần với giai đoạn phát hiện hơn nhiều người nhận ra. AI đã trở nên hữu ích cho việc xác định mẫu, xem xét mã và đưa ra các lỗ hổng tiềm năng.

Xác thực vẫn là thử thách khó hơn. Tìm thấy điều gì đó có thể là một lỗ hổng rất khác với việc chứng minh khả năng khai thác, hiểu tác động kinh doanh và đánh giá chính xác mức độ nghiêm trọng. Những nhiệm vụ vẫn đòi hỏi sự phán quyết của con người đáng kể.

Sự trỗi dậy của các tác nhân AI tự chủ đang tạo ra các bề mặt tấn công hoàn toàn mới. Bạn tin rằng những rủi ro an ninh nào liên quan đến các tác nhân AI tự chủ đang được đánh giá thấp bởi cả ngành Web3 và thị trường doanh nghiệp rộng lớn hơn?

Điều thường bị đánh giá thấp là sự phức tạp của các ranh giới tin cậy liên quan. Các hệ thống tự chủ không hoạt động trong sự cô lập. Chúng tiêu thụ đầu vào từ nhiều nguồn, tương tác với các dịch vụ của bên thứ ba và đưa ra quyết định dựa trên môi trường động. Mỗi một trong những tương tác đó tạo ra một bề mặt tấn công tiềm năng.

Tôi nghĩ nhiều tổ chức vẫn đang áp dụng các giả định an ninh phần mềm truyền thống cho các hệ thống hoạt động khác nhau. Khoảng cách đó sẽ trở nên ngày càng quan trọng khi các tác nhân tự chủ có được thẩm quyền hoạt động rộng lớn hơn.

Nhìn về tương lai ba đến năm năm, bạn dự đoán AI sẽ biến đổi việc phát hiện, báo cáo và giảm thiểu lỗ hổng như thế nào, và bạn thấy vai trò của các nhà nghiên cứu an ninh con người trong tương lai đó?

AI sẽ tăng tốc đáng kể mọi giai đoạn của chu kỳ an ninh. Các lỗ hổng sẽ được phát hiện nhanh hơn, phân loại nhanh hơn và trong nhiều trường hợp được giảm thiểu nhanh hơn so với ngày nay. Các đội an ninh sẽ có quyền truy cập vào nhiều thông tin và tự động hóa hơn bao giờ hết.

Nhưng tôi không tin rằng tương lai là nơi các nhà nghiên cứu con người trở nên không liên quan. Nếu có gì, vai trò của họ trở nên quan trọng hơn. Khi AI xử lý các nhiệm vụ thường xuyên, chuyên môn của con người chuyển sang việc hiểu các hệ thống mới, xác định các đường tấn công không thông thường, xác thực các phát hiện quan trọng và đưa ra các quyết định an ninh chiến lược.

Những nhà nghiên cứu thành công nhất sẽ không phải là những người cạnh tranh với AI. Họ sẽ là những người học cách tận dụng AI như một nhân tố khuếch đại. An ninh luôn thưởng cho sự thích nghi, và điều đó sẽ vẫn đúng trong một tương lai được thúc đẩy bởi AI.

Cảm ơn bạn vì cuộc phỏng vấn tuyệt vời, độc giả muốn tìm hiểu thêm có thể truy cập Immunefi.

Antoine là một nhà lãnh đạo có tầm nhìn và là đối tác sáng lập của Unite.AI, được thúc đẩy bởi niềm đam mê không ngừng nghỉ trong việc định hình và thúc đẩy tương lai của trí tuệ nhân tạo và robot. Là một doanh nhân liên tục, ông tin rằng trí tuệ nhân tạo sẽ gây ra sự gián đoạn cho xã hội giống như điện, và thường được bắt gặp khi nói về tiềm năng của các công nghệ gián đoạn và AGI.

Là một nhà tương lai học, ông dành mình để khám phá cách những đổi mới này sẽ định hình thế giới của chúng ta. Ngoài ra, ông là người sáng lập của Securities.io, một nền tảng tập trung vào đầu tư vào các công nghệ tiên tiến đang định hình lại tương lai và thay đổi toàn bộ lĩnh vực.