HackenProof CEOが語る Web3 Hack Seasonsカンヌにおけるセキュリティトレンド、バグバウンティの有効性、そしてサイバーセキュリティにおけるAIの役割拡大

の最高経営責任者（CEO） ハッケンプルーフ , ドミトロ マトヴィーフ で話しました ハックシーズンズカンファレンス 3月XNUMX日にカンヌで Web3 セキュリティ、進化する脅威の状況、サイバーセキュリティにおける AI の役割について説明します。

HackenProofは、Ethereum Foundation、Sui、Aptos、Nearといった複数のレイヤー1およびレイヤー2プロトコル、そしてBybitやGateといった暗号通貨取引所と積極的に連携しています。セキュリティコミュニティと連携して脆弱性を特定し、提出されたレポートの検証後、セキュリティ研究者に適切な報酬を支払います。このプロセスは、バグバウンティとクラウドソーシングによるセキュリティモデルに基づいて運営されています。

進化するサイバーセキュリティ：攻撃の複雑化、バグバウンティの有効性、そして新興エコシステムにおけるセキュリティ上の課題

ドミトロ・マトヴィーフ氏によると、HackenProofでは継続的に社内調査を実施しており、サイバーセキュリティの動向を追跡するための四半期ごとのレポートを公開している。過去2年間で、報告されたハッキング件数は減少しているものの、これらのインシデントの複雑性は増している。今四半期だけでも、様々な攻撃によってXNUMX億ドル以上が流出している。これらのインシデントの多くは計画的なものとみられ、中には長期間組織内で活動した後にバックドアを仕掛け、後に協調攻撃を実行する者もいる可能性がある。注目すべき傾向として、特に北朝鮮をはじめとする国家支援を受けたアクターの関与が挙げられ、犯人の身元が判明したとしても、法執行や引き渡しが困難となっている。

しかし、多くの企業が競争力のあるバグ報奨金プログラムを提供しています。悪意のある行為者にとって、脆弱性を悪用するよりも、公式チャネルを通じて脆弱性を報告し、時には数十万ドル、あるいは数百万ドルに及ぶ法的補償を受ける方が有益である可能性があると、ドミトロ・マトヴィーヴ氏は考えています。一方、報奨金制度が適切でないと、責任ある情報開示が阻害される可能性があります。例えば、Bybitの事例では、同社のウェブサイトにおける重大な脆弱性に対する最高支払額は4,000ドルに設定されていました。ある研究者が脆弱性を悪用し、1.3億ドルの損失を引き起こしました。このことから、潜在的損害の10%に相当する報奨金であっても提供することで、より効果的な予防策となる可能性があるという議論が生まれます。

「したがって、企業がバグ報奨金制度を合法化すると決定した場合、企業と研究者は確実にこれらの脆弱性を発見するのに役立つレポートを提出するでしょう」とドミトロ・マトヴィーフ氏は強調した。 

最近、Suiエコシステム内で動作するCetusプロトコルに関連する新たなセキュリティインシデントが発生しました。観察結果によると、Suiエコシステムは、その急速な開発と活動の拡大により、引き続き様々なセキュリティ課題に直面しています。エコシステムは大規模で熱心なチームを維持しており、頻繁なバグバウンティプログラム、コンテスト、監査を通じてセキュリティへの強いコミットメントを示しています。最近の侵害にもかかわらず、CetusはHackenProofと共同で新たなバグバウンティプログラムを進めており、翌週に予定されています。全体として、Suiエコシステムは脆弱性への対応において引き続き積極的かつ迅速に対応しています。

Suiはまだ非常に若いエコシステムの一つだと思います。MoveとRustを組み合わせた新しい言語を使用しており、脆弱性が見つかる可能性のある潜在的に危険なコードが多数存在します。そのため、現在Suiエコシステムには多くの問題があります。しかし、非常に有望なエコシステムであり、多くの人がトークンを購入しています。このエコシステムは今後発展していくと信じています。 defiセキュリティを次のレベルに引き上げます。」

サイバーセキュリティにおけるAIエージェントの統合：リスク管理と自動化の強化

AIと分散化は現在、テクノロジー分野とサイバーセキュリティ分野で広く議論されているトピックです。HackenProofは、事業戦略の一環として、これらの動向に積極的に取り組んでいます。 

セキュリティ監査担当者は、様々なバグバウンティプラットフォームにおけるセキュリティ問題の特定など、従来は人間が行っていたタスクを実行するAIエージェントを作成する場合があります。HackenProofは、これらのAIエージェントによって生成されたレポートの検証を支援することで、こうしたセキュリティ企業を支援します。

「たとえば、これらの AI エージェントはリポジトリをスキャンして 200 件のレポートを生成し、それを検証して各レポートが有効かどうかを判断できます」と Dmytro Matviiv 氏は説明します。

もう一つの例として、HackenProofに提出されたレポートの検出と整理を支援するAIエージェントの活用が挙げられます。これらのAIエージェントはプロセスの自動化に貢献しますが、結果の品質と信頼性は入力データの正確性に大きく依存します。

「AIエージェントを完全に信頼していて、誰かが誤ったデータを入力すると、例えばAIエージェントが口座間で資金を移動させるなど、アクションがトリガーされる可能性があります。これは非常に危険です」とドミトロ・マトヴィーヴ氏は指摘します。「AI環境を隔離し、自分が理解しているケースのみを扱う必要があります。そして、AIエージェントが公的に実証済みであることを確認する必要があります」と同氏は付け加えました。 

昨年は、レイヤー1 AIプロトコルの登場を含め、AI開発への投資が盛んに行われました。現在、AIは多くの企業にとって重要な要素となっており、AI開発をプロセスに統合していない企業は、XNUMXヶ月以内に市場での存在感やビジネスチャンスを失うリスクがあります。

「AIは確かにビジネスプロセスの一部であり、少なくとも、どのようなビジネスチャンスを見逃している可能性があるかを把握するのに役立つ必要があります。また、AIはあらゆる企業にとって最大のセキュリティ脅威の一つになる可能性も高いでしょう」と、ドミトロ・マトヴィーヴ氏は結論付けました。