„Trendul printre hackeri pare să încline tot mai mult înspre partea de prompt engineering. Și anume observăm că foarte mulți hackeri sunt în stare să dezvolte soluții cu ajutorul cărora vor identifica, folosind LLM-uri, vulnerabilități foarte rapid”, spune Fineas Silaghi, hacker etic co-fondator și CEO al AISafe Labs, o platformă de agenți cu inteligență artificială care pot testa aplicații web pentru vulnerabilități în cod sau în interfață, la noul episod din podcastul „AI Business, AI Parte”.
Urmăriți podcastul video integral pe YouTube.
El a pornit afacerea AISafe alături de colegul său, Dragoș Albăstroiu (CTO), anul trecut în luna mai, după ce au dezvoltat platforma care-i ajuta în cadrul competițiilor de securitate cibernetică și au realizat că o pot extinde către utilizatori și clienți business.
„Ideea a luat naștere inițial în anul 2024, în timp ce eram la o conferință împreună cu colegul meu, Dragoș Albăstroiu, urmăream o prezentare susținută de cei de la DARPA din SUA (Agenția de Proiecte Avansate de Cercetare a Departamentului Apărării) și, în prezentarea aceasta, cercetătorii prezentau niște experimente locale pe care le-au rulat ei, unde încercau să testeze capabilitățile LLM-urilor în identificarea de vulnerabilități. Acum, în anul 2024, LLM-urile nu erau chiar la stadiul în care sunt acum, tocmai din cauza aceasta, erau niște experimente foarte ambițioase, totuși rezultatele au surprins pe toată lumea, inclusiv pe noi”, a spus Fineas Sliaghi.
Fineas a explicat că ei și-au dat seama că limitează foarte mult capabilitățile platformei, „îl ținem în buzunar și nu dorim să-l împărtășim cu ceilalți, când ar putea să fie ambalat într-o soluție frumoasă și apoi să fie scos pe piață și să aibă acces oricine deține o aplicație și să și-o securizeze”.
Cei doi au o experiență de aproape 10 ani în domeniul securității cibernetice și al „hacking-ului etic”, lucrând pe proiecte pentru firme ca Anthropic, OpenAI, Meta, Google și Samsung, printre altele, alături de echipa principală și cea secundară, WreckTheLine, pornită chiar de Silaghi și Albăstroiu.
Hackerii au întâmpinat atât provocări pe partea de business, cât și pe partea de antrenare a agenților AI:
„Aș spune că a doua etapă a fost cea mai complicată, anume etapa de „analysis”. Pentru că etapa aceasta presupune să creăm un knowledge base, practic toate cunoștințele pe care Dragoș și cu mine le-am acumulat de-a lungul anilor activând în acest domeniu, le-am comprensat într-o bază de date și pe aceasta am făcut-o disponibilă agenților. Astfel, agenții au acces la tipare foarte bine definite, la clase de vulnerabilități foarte bine definite, să fie în stare să identifice vulnerabilitățile exact cum le-am identificat noi, urmărind exact aceeași metodologie”
„Începutul a fost cel mai provocator. Am fost practic doi oameni tehnici care, până atunci, n-am văzut în fața ochilor decât vulnerabilități și cod sursă. După care, ne-am decis împreună să ne luăm la braț și să încercăm să deschidem afacerea. Așadar a fost nevoie de foarte multă aclimatizare cu domeniul startup-ului, domeniul legal, domeniul contabilității și tot ceea ce presupune acestea.”
Lipsa expertizei în zona de cybersecurity
Fineas a spus că peste 1 milion de proiecte noi au fost lansate pe piață, dintre care numai 20% au beneficiat de analize de securitate. „Poate vă întrebați de ce așa de puține? Ei bine, răspunsul e foarte simplu. Pur și simplu nu există suficientă expertiză. Nu există suficienți experți în domeniul acesta ca să facă față cu volumul aflat în creștere exponențială de aplicații lansate în fiecare an”.
Soluția lansată de cei doi încearcă să adreseze nevoia de testare pentru vulnerabilități, astfel încât utilizatorii consumatori sau de afaceri care lansează aplicații web să poată verifica, în mod autonom, securitatea acestora, „oricând, la orice oră”.
Produsul lor analizează aplicații web în 4 pași:
- Understanding: Sistemul face o analiză sumară a aplicației;
- Analysis: O rețea de agenți specializați pornește analiza, coordonată de un agent orchestrator;
- Triage: Pentru a elimina fenomenul de „halucinație” al AI și raportările de tip false positive, mai mulți agenți independenți analizează și confirmă fiecare problemă;
- Secure: Platforma permite utilizatorilor să-și testeze mecanismele de securitate și modificările făcute în urma analizei.
Ce mai este un „hacker” în anul 2026?
Trendul printre hackeri anul acesta este de „prompt engineering”, adică dezvoltarea de soluții de găsire de vulnerabilități cu ajutorul inteligenței artificiale. Și totuși, o sarcină care rămâne destul de solicitantă este cea de triere, explică Fineas Silaghi:
„Așa cum am explicat sarcina cu care ne-am luptat și noi, cel mai mult, după ce obții o listă de potențiale vulnerabilități, rămâne de văzut care din ele sunt cu adevărat vulnerabile și care au fost doar halucinări ale LLM-urilor. Așadar, în partea aceasta, expertiza tehnică încă este foarte folositoare să fii în stare să îți implementezi singur un test care verifică dacă raportul este într-adevăr o vulnerabilitate validă sau nu.”
Pe viitor, Silaghi și Albăstroiu vor să strângă o nouă rundă de finanțare spre finalul anului acesta și vor să extindă soluția și pentru aplicații mobile, dar nu exclud posibilitatea testării sistemelor destinate și altor dispozitive, cum ar fi IoT (Internet of Things).
„AI Business, AI Parte” este un nou podcast lansat de StartupCafe.ro, care se concentrează pe tehnologia AI, pe afacerile din jurul inteligenței artificiale și pe aplicațiile sale în diferite domenii.
Urmăriți podcastul video integral pe YouTube: