La start-up de cybersécurité et d'intelligence artificielle Grego AI a été officiellement lancée aujourd'hui avec une méthode revendiquée consistant à utiliser des modèles d'IA existants pour détecter les vulnérabilités logicielles critiques que les auditeurs humains et autres outils automatisés manquent régulièrement.
Fondée en 2024, l’entreprise appelle son approche Deep Invariant Analysis. L'outil analyse une base de code complète et détermine comment chaque module et dépendance sont liés au suivant.
Les agents plus petits sont libérés dans des bacs à sable, chacun suivant un itinéraire différent à travers la pile. Dans le cas où l’un des agents détecte quelque chose qui ressemble à une faiblesse, il met en place un exploit de validation de principe et le déclenche.
Le bug est soit confirmé comme reproductible, soit rejeté.
Grego AI fait valoir que les bogues pour lesquels il est conçu ne sont pas ceux qu'un développeur détecte lors d'une révision de code. Dans une grande base de code, les pires défauts n'apparaissent souvent qu'une fois que cinq, six ou sept couches de dépendances commencent à se comporter d'une manière à laquelle personne ne s'attendait. Les auditeurs humains ne peuvent généralement pas voir aussi loin dans la pile et les outils de tests statiques et dynamiques existants n'ont pas été conçus pour raisonner à cette profondeur.
La société affirme que son système a identifié et aidé à corriger une vulnérabilité dans un protocole majeur de blockchain qui, si elle était exploitée, aurait permis à un attaquant de drainer 27,7 millions de dollars. Le correctif a valu à l'entreprise un paiement de 250 000 $, qu'elle a décrit comme la plus grande prime de bug jamais payée pour une faille entièrement découverte par un système d'IA. Le protocole impliqué n’a pas été nommé.
Web3 a été choisi comme terrain d'essai car les protocoles cryptographiques sont fortement audités et une seule faille manquée se traduit directement par une perte de fonds. L’objectif à plus long terme concerne les logiciels d’entreprise conventionnels, notamment les infrastructures financières, les systèmes de santé, les plates-formes cloud et les codes gouvernementaux et de défense.
Grego AI a été cofondé par le PDG Justus Hanna, l'un des 30 meilleurs chasseurs de primes aux bogues au monde, et le directeur de la technologie Gregorio Maspero, 24 ans, médaillé d'or aux Olympiades nationales de mathématiques. La société a déclaré avoir construit une architecture propriétaire, une méthodologie de formation, une orchestration sandbox multi-agents et un pipeline d'auto-raffinement autour de modèles de base à usage général pour pousser la capacité de raisonnement au-delà de ce que ces modèles présentent dès le départ.
« Les modèles pionniers des principaux laboratoires ont tous une grande limitation de raisonnement », a déclaré Maspero. « Même pour leurs versions maximales, ils ne peuvent pas contenir et tracer une logique complexe à travers de nombreuses couches de systèmes en interaction, et aucun laboratoire d'IA n'a été en mesure de résoudre ce problème. Mais nous l'avons fait. » Maspero a ajouté que l'entreprise avait été approchée par l'un des principaux laboratoires d'IA pour discuter du travail, bien qu'il ait refusé de nommer lequel.
Grego AI est financé par cyber•Fund et est également soutenu par Guillermo Rauch, fondateur et PDG de Vercel Inc.
