saplama Giovanni Vignone, Octane Security CEO'su ve Kurucusu - Röportaj Dizisi - Securities.io
Bizimle iletişime geçin

Röportajlar

Giovanni Vignone, Octane Security CEO'su ve Kurucusu – Röportaj Dizisi

mm

Yayınlanan

2 ay önce

 on

Giovanni Vignone, CEO ve Kurucusu Oktan Güvenliği, Web2022'te proaktif siber güvenliğe yönelik artan ihtiyacı karşılamak için 3'de şirketi kurdu. Henüz 22 yaşındayken, 24/7 güvenlik mühendisi gibi davranan, akıllı sözleşme kod tabanlarını gerçek zamanlı olarak analiz eden, doğrudan CI/CD kanallarına entegre eden ve geleneksel denetimlerin sıklıkla gözden kaçırdığı güvenlik açıklarını yakalayan yapay zeka destekli bir platform kurmaya koyuldu.

Bu sohbette, Octane'in yazılım geliştirme yaşam döngüsüne sürekli ve açıklanabilir güvenlik açığı tespiti yerleştirme misyonunu ve geleceği güvence altına almak için gerekenleri ele alacağız. akıllı sözleşmeler.

Duke'tan ayrılıp Octane'ı tam zamanlı kurma kararına ne ilham verdi? Fırsatı netleştiren belirli bir an oldu mu?

Duke'taki üçüncü yılımda, OpenAI'nin platformuna erken beta erişimi elde ettim ve kriptodaki akıllı sözleşmelerde büyük dil modelleriyle deneyler yapmaya başladım. Sonuçlar gerçekten gözlerimi neyin mümkün olduğuna açtı.

Öne çıkan belirli bir an vardı. Sohbet arayüzüne akıllı bir sözleşme girdim ve herhangi bir sorun bulmasını istedim. Sonuçlar üzerinde çalışma gerekiyordu, ancak bulunması zor güvenlik açıklarını tespit etmek için LLM'leri kullanmanın muazzam potansiyelini hemen görebiliyordum. Bu, Mart 2023'teydi.

Bu, endüstri genelinde gerçekleşen tüm bu hack'leri ve istismarları gördüğüm sırada gerçekleşti. Bu güvenlik sorunlarını düzeltmek için acil bir ihtiyaç olduğunu fark ettim ve bu modeller bize bunlarla başa çıkmak için benzersiz bir yol sağladı. Octane'e tümüyle girmenin doğru zamanı olduğunu anladım.

Octane'i konsept aşamasından büyük kripto şirketleri tarafından benimsenme aşamasına getirirken karşılaşılan en büyük teknik veya operasyonel zorluklar nelerdi?

En büyük teknik zorluk, güvenlik açıklarını nasıl belirleyeceğimizi ve bunları kullanıcılara gerçekten kullanabilecekleri bir şekilde nasıl göstereceğimizi bulmaktı. Bu gerçekten zordu çünkü güvenlik açıkları siyah ve beyaz değildir - birden fazla boyutu vardır.

Olası bir güvenlik açığına baktığımızda, birkaç şeyi göz önünde bulundurmamız gerekir: etkisi nedir (birisi para veya önemli bir devlet kaybedebilir mi?), istismarı ne kadar kolaydır, düzeltmek için ne yapılabilir ve ilk etapta soruna ne sebep olur. Tüm bu yönleri aynı anda ele almak ve bunları açıkça sunmak çok fazla iş gerektirdi.

Müşterilerin Octane'i kullanarak güvenlik açıklarını bulabilmesi, ne kadar ciddi olduklarını hızla anlayabilmesi ve hemen düzeltmeye başlayabilmesi için bu bileşenlerin her birini ürünleştirmek için çok çaba sarf ettik. Bu sorunları farklı kod tabanlarında tutarlı bir şekilde tespit edebilen sistemler oluşturmak hem teknik bilgi birikimi hem de her türlü güvenlik açığı hakkında çok sayıda veri gerektiriyordu.

Octane, her geliştirme ekibine yerleştirilmiş bir AI güvenlik mühendisi gibi çalışmayı hedefliyor. Bu hedefi sektör genelinde tam olarak gerçekleştirmek için hangi kilometre taşlarına ihtiyaç var?

İlk büyük kilometre taşımız, geliştiricilerin güvenlik hakkındaki düşüncelerini değiştirmektir; lansmandan birkaç hafta önce eklemek yerine, ilk günden itibaren güvenlikle başlamalarını sağlamak. Bu, onlara güvenlikle başlamanın aslında sorunları daha erken çözmelerine izin vererek zamandan tasarruf sağladığını göstermek anlamına gelir.

Ayrıca kullanıcıların güvenlik açıklarını erken fark ettiklerinde neler olacağını görmelerine ve anlamalarına yardımcı olmalıyız, böylece faydaları ilk elden deneyimleyebilirler.

Ürün tarafında, sadece Solidity'nin ötesinde daha fazla dili desteklememiz gerekiyor - diğer akıllı sözleşme dilleri ve sonunda normal programlama dilleri de. Modellerimizi doğruluk açısından daha iyi hale getirmek ve daha fazla türde güvenlik açığı yakalamak için her zaman çalışıyoruz.

Platform, kimlik avı veya kötü amaçlı yazılım tabanlı saldırılar gibi karmaşık, kod tabanlı olmayan tehditleri ele almak için nasıl gelişecek?

Aslında bu tehditlerin bazılarını bugün zaten ele alıyoruz. Ekiplerin hangi özel anahtarların ve rollerin özellikle hassas olduğunu bilmelerine yardımcı olan merkezileşme risklerini işaretliyoruz.

Akıllı sözleşmelerde, örneğin birinin arayan doğrulama mantığı için tx.origin kullanması gibi, kimlik avı saldırılarına yol açabilecek yaygın kimlik avı modellerini de yakalıyoruz. Bunları kullanıcılara bildirdiğimizden emin oluyoruz.

Şu anda Octane, tehditleri gerçek zamanlı olarak yakalayan bir şey olmaktan ziyade, esas olarak bir dağıtım öncesi güvenlik aracı olarak çalışıyor. Planımız, kod yayına girmeden önce tespit edebileceklerimizi genişletmeye devam etmek ve geliştiricilere, gerçek saldırılara dönüşmeden önce potansiyel sorunları düzeltmeleri için araçlar sağlamak.

Akıllı sözleşme güvenlik açıklarını sınıflandırmak için gözetimsiz makine öğrenimini (özellikle kümelemeyi) geleneksel kural tabanlı sistemlerden daha etkili bir yaklaşım yapan nedir?

Gözetimsiz makine öğrenimi, orada hangi tür hataların bulunduğunu haritalamamıza gerçekten yardımcı oldu. Gözetimli modellerimizi oluşturmak için hala kural tabanlı teknikler kullanırken, gözetimsiz öğrenme, özellikle kümeleme, hangi modelleri oluşturmamız gerektiğini ve bunlara nasıl öncelik vereceğimizi anlamamıza yardımcı oluyor.

Bu yaklaşım, modellerimizi farklı güvenlik açığı türleri için daha uzmanlaşmış analiz kanallarına ayırmamızı sağlar.

Aslında hem denetlenen hem de denetlenmeyen ML'yi birlikte kullanıyoruz: Manzarayı anlamak için denetlenmeyen öğrenme ve hassas algılama yetenekleri oluşturmak için denetlenen yöntemler. Bu kombinasyon, yalnızca geleneksel kural tabanlı sistemlere güvenmekten daha iyi çalışır.

Kümelemenin daha önce denetimlerde veya güvenlik incelemelerinde tanınmayan yeni bir güvenlik açığı sınıfını ortaya çıkardığına dair bir örnek paylaşabilir misiniz?

Kümeleme aslında sıfırdan yeni güvenlik açığı kategorileri oluşturmaz; mevcut verileri alır ve anlamlı şekillerde gruplandırır. Verilerimiz gerçek dünyadaki zincir üstü istismarlardan, genel güvenlik açığı raporlarından ve akıllı sözleşme hatalarının diğer kaynaklarından gelir.

Gözetimsiz öğrenmenin gerçekten iyi yaptığı şey, mevcut güvenlik açığı kategorilerini nasıl anladığımızı iyileştirmemize yardımcı olmasıdır. Aksi takdirde fark edilmeyebilecek farklı güvenlik açıkları arasındaki kalıpları ve bağlantıları tespit eder, bu da daha iyi tespit yöntemleri oluşturmamızı sağlar.

Bu desen tanıma ve veri gruplandırması sayesinde, tamamen yeni güvenlik açığı sınıfları keşfetmek yerine, bilinen güvenlik açığı türlerinin ince farklılıklarını yakalayabilen daha ayrıntılı modeller oluşturduk.

Octane, bir güvenlik açığının sınıflandırma içindeki mevcut kategorilere açıkça uymadığı uç durumları nasıl ele alıyor?

Taksonomimizi ne kadar spesifik ve genel yaptığımızı dengelemeye çalışıyoruz. Kategorilerimiz ve modellerimiz ne kadar genel olursa, hiçbir yere tam olarak uymayan tuhaf uç durumları o kadar iyi yakalayabiliriz. Ancak daha spesifik kategoriler kullanıcılara daha iyi açıklamalar sunar ve bilinen hata türlerini daha tutarlı bir şekilde yakalamamızı sağlar.

Octane'in gözden kaçırdığı veya mevcut kategorilerimize açıkça uymayan güvenlik açıklarıyla karşılaştığımızda, bu güvenlik açığı hakkında mevcut bir modele daha fazla veri ekleyip eklemememiz gerektiğine veya gelecekte bu tür hataları yakalamak için tamamen yeni bir model oluşturmamız gerekip gerekmediğine bakıyoruz.

Bu esnek yaklaşım, kullanıcılar için mantıklı bir çerçeveyi korurken tespit yeteneklerimizi geliştirmeye devam etmemizi sağlıyor.

Binlerce hatayı analiz ettikten sonra, akıllı sözleşme güvenlik açıklarında hangi tekrar eden kalıplar veya temel nedenler öne çıktı?

Tekrar tekrar ortaya çıkan birkaç zorlu desen gördük. Akıllı sözleşmelerde yeniden giriş hala önemli bir sorun. Bir diğer büyük kategori, işlemlerin mempool'da herkese açık olarak görülebilmesinden kaynaklanıyor. Bu, saldırganların bekleyen işlemleri görüp bilgileri çalabileceği veya işlemlerin başarısız olmasına neden olabileceği güvenlik açıkları yaratıyor. İnsanlar buna önden koşma diyor ancak bu birçok farklı şekilde gerçekleşiyor.

Ayrıca basit geliştirici hatalarından kaynaklanan birçok kritik güvenlik açığı bulduk. Bunlara daha önce genel olarak "mantık hataları" deniyordu, ancak bu çok belirsiz. Gördüğümüz yaygın hatalardan biri, geliştiricilerin gerçekten ihtiyaç duydukları belirli kod yollarındaki durum değişkenlerini güncellemeyi unutmalarıdır.

Bunlar sadece birkaç örnek; veri analizi çalışmalarımız sırasında geliştirdiğimiz tüm hataların çok daha ayrıntılı bir özel dökümüne sahibiz.

Akıllı sözleşmeler ekosistemler ve diller arasında büyük ölçüde farklılık gösterir. Octane, modellerinin bu çeşitli ortamlarda etkili kalmasını nasıl sağlar?

Birçok güvenlik açığı, belirli dil veya ekosistemden bağımsız olarak ortak kalıpları takip eder. Bu, farklı kod tabanlarında bu güvenlik açıklarını etkili bir şekilde tespit edebilen modeller oluşturmamızı sağlar.

Modellerimizi, farklı dillerin belirli özelliklerini hesaba katarak akıllı sözleşme sistemleri genelinde yaygın olarak uygulanan temel güvenlik ilkelerine odaklanacak şekilde tasarlıyoruz. Bu yaklaşım, her yeni dil için her şeyi yeniden inşa etmek zorunda kalmadan çeşitli ortamlarda etkili kalmamıza yardımcı oluyor.

Yüzeysel ayrıntılar yerine, güvenlik açıklarının temel modellerine odaklanarak, akıllı sözleşme geliştirmenin çeşitli dünyasına uyum sağlayabilen modeller oluşturduk.

Yapay zeka tabanlı güvenlik araçları genellikle açıklanabilirlik konusunda şüpheyle karşı karşıyadır. Octane, güvenlik açığı sınıflandırmalarının ve uyarılarının geliştiriciler için eyleme dönüştürülebilir olmasını nasıl sağlar?

Ek kontroller aracılığıyla güvenlik açıklarını doğrulamak için arka uç doğrulama sürecimize çok emek verdik. 

Bulgularımızı, kritik güvenlik açıklarını (kod tabanını gerçekten etkileyebilecek) en iyi uygulamaları temsil eden daha az ciddi sorunlardan veya uyarılardan ayırmak için dikkatlice sıralarız. Bu kategorileştirme, geliştiricilerin en önemli olana odaklanmalarına yardımcı olur.

Kullanıcı arayüzümüz basit ve net olacak şekilde tasarlanmıştır, en ciddi sorunları vurgulayarak daha az önemli uyarıların arasında kaybolmak yerine anında dikkat çeker. Net açıklamalar sunarak ve eyleme dönüştürülebilir olana odaklanarak, geliştiricilerin bulduğumuz güvenlik açıklarını hızla anlayıp düzeltebilmelerini sağlarız.

Harika röportaj için teşekkürler, daha fazla bilgi edinmek isteyen okuyucular ziyaret etmelidir. Oktan Güvenliği.

İlgili konular:
mm

Antoine vizyoner bir kişidir fütürist ve yıkıcı teknolojilere yatırım yapmaya odaklanan son teknoloji bir fintech platformu olan Securities.io'nun arkasındaki itici güç. Finans piyasaları ve ortaya çıkan teknolojiler konusunda derin bir anlayışa sahip olan Antoine, inovasyonun küresel ekonomiyi nasıl yeniden tanımlayacağı konusunda tutkuludur. Securities.io'yu kurmanın yanı sıra, Antoine Unite.AI, yapay zeka ve robotik alanındaki çığır açıcı gelişmeleri ele alan önde gelen bir haber kuruluşudur. İleri görüşlü yaklaşımıyla tanınan Antoine, inovasyonun finansın geleceğini nasıl şekillendireceğini keşfetmeye adanmış tanınmış bir düşünce lideridir.

reklamveren Bilgilendirme: Securities.io, okuyucularımıza doğru incelemeler ve derecelendirmeler sunmak için sıkı editoryal standartlara kendini adamıştır. İncelediğimiz ürünlerin bağlantılarına tıkladığınızda tazminat alabiliriz.

ESMA: CFD'ler karmaşık araçlardır ve kaldıraç nedeniyle hızla para kaybetme riski yüksektir. Bireysel yatırımcı hesaplarının %74-89'u CFD ticareti yaparken para kaybediyor. CFD'lerin nasıl çalıştığını anlayıp anlamadığınızı ve paranızı kaybetme riskini göze alıp alamayacağınızı düşünmelisiniz.

Yatırım tavsiyesi sorumluluk reddi beyanı: Bu sitede yer alan bilgiler eğitim amaçlı olup, yatırım tavsiyesi niteliğinde değildir.

Alım Satım Riski Sorumluluk Reddi Beyanı: Menkul kıymet alım satımında çok yüksek derecede risk vardır. Forex, CFD'ler, hisse senetleri ve kripto para birimleri dahil her türlü finansal ürünün alım satımı.

Piyasaların merkezi olmayan ve düzenlenmemiş olması nedeniyle Kripto para birimlerinde bu risk daha yüksektir. Portföyünüzün önemli bir kısmını kaybedebileceğinizin farkında olmalısınız.

Securities.io kayıtlı bir komisyoncu, analist veya yatırım danışmanı değildir.

Telif hakkı © 2025 Securities.io