كنظام كمبيوتر واسع النطاق ، تجاوز تعقيد النظام الحالي لـ blockchain بكثير المستوى الذي كان عليه قبل 5 سنوات ، ودرجة تشكيل البنية التحتية أصبحت أكثر دقة ، وأصبح منطق العقود الذكية في طبقة التطبيق أكثر وفرة ، و التفاعل بين العقود متكرر للغاية ، والأهم من ذلك ، أن عدد الأصول التي يديرها نظام blockchain كبير جدًا بالفعل ، لذلك كان هناك المزيد من المناقشات حول دورة الأمان في مجتمع أمان blockchain مؤخرًا (الوضع هو نفسه كما في عام 2017 ، عندما يذكر الناس الأمان ، فإنهم لا يفكرون إلا في المطورين. يختلف الأمر كثيرًا عن كتابة العقد وإلقاءه على أصدقاء مؤسسة Ethereum لإلقاء نظرة وإجراء بعض الاختبارات الأساسية).
طوال دورة حياة الأمان لبرامج blockchain (من الاختبار ، ودعوة عمليات تدقيق من طرف ثالث إلى مراقبة ما بعد الحدث ، وتحديث عمليات التدقيق) ، يشبه مجتمع bug bounty وسادة أمان لجذب القبعات البيضاء من خلال نظرية اللعبة والعمل العنقودي. مراجعة كود طرف المشروع ، ويشعر بعض عمال أمن العقود الأذكياء أن مكافأة الخطأ تشبه إلى حد بعيد الرجل الأخير على خط الدفاع ، لكنني أعتقد أن مكافأة الأخطاء ومنافسة التدقيق لديها القدرة على لعب دور أكبر في المستقبل ، بمثابة دور تؤدي الأدوار طوال دورة حياة الأمان بأكملها إلى تحسين أمان النظام ككل. **
بالطبع ، هناك أيضًا برامج مكافآت الأخطاء (Bug Bounty أو Vulnerabilty Rewards) في مجال أمان الشبكات التقليدية. أولاً ، ستقوم شركات التكنولوجيا الكبرى مثل Facebook و Google و Microsoft وغيرها بنشر برامج المكافآت لفرق الأمن الداخلية الخاصة بها و خطوط إنتاجهم الخاصة. ثانيًا ، ظهرت منصات الطرف الثالث Bug bounty التي يمثلها HackerOne و Bugcrowd منذ حوالي عام 2015. حاليًا ، تعتمد هاتان الشركتان الأمنيتان الرائدتان على سحوبات المكافآت كدخل رئيسي لهما ، ويمكن أن يصل دخلهما السنوي إلى ما يقرب من 50 مليون دولار أمريكي. و 20 مليون دولار امريكى على التوالى. في عالم blockchain ، تعد المكافأة موضوعًا أكثر إثارة للاهتمام تتم مناقشته غالبًا في دائرة الأمان. والسبب الرئيسي هو أن المصدر المفتوح لرمز blockchain يجعل تكلفة القرصنة وتحسين استراتيجيات الهجوم أرخص. إن تجمعات اقتصادات العمل والمبدع والملكية مفتوحة لنماذج المساهمة التي تجعل اقتصاد القبعة البيضاء أكثر انفتاحًا أكثر قيمة.
** ما هي مكافآت الأخطاء ومسابقات التدقيق؟ لماذا نحتاجها؟ **
الأمن هي لعبة ديناميكية بين المهاجم والمدافع ، تمامًا كما قال خبير أمان الكمبيوتر وعالم التشفير بروس شناير ، "الأمن عملية وليست منتجًا. إنها طريقة تفكير يجب أن تتم خلال عملية تطوير البرامج كل جانب. "في عالم blockchain ، الغابة المظلمة حيث تكون جميع الرموز مفتوحة المصدر وشفافة ، يجب أن يكون لمشروع blockchain الذي يريد البقاء لفترة طويلة احتياجات أبدية لأمن منتجاته / عقوده.جميع المنتجات المتسلسلة لها موارد مالية أكثر أو أقل السمات: أهم الأصول في التمويل هي الثقة ، وثقة المستخدم مرة واحدة فقط.
أين أوجه قصور ومشاكل التدقيق التقليدي؟ ما هي المزايا التي يمكن أن تعوضها مكافآت الأخطاء التي يحركها المجتمع ومسابقات التدقيق عن هذه المشكلات؟
غالبًا ما يجد المطورون الذين يستخدمون خدمات التدقيق ما يلي:
حتى بعد شراء خدمات شركة تدقيق خارجية ، لا تزال هناك مشاكل مع الكود بعد التدقيق. على الرغم من اختلاف أسباب هذه المشاكل (فنية وغير تقنية) ، لا يبدو أنه يمكن الاعتماد عليها بشكل كامل على شركة تدقيق في النهاية ، ومع ذلك ، لا تزال جودة تدقيق الكود تعتمد على مستوى المدققين ، وغالبًا ما يفتقر العملاء إلى القدرة على تمييز "من هو الأفضل".
تعتبر منصة المكافآت ومسابقة التدقيق بمثابة "صندوق رمل" أكثر انفتاحًا ، ويمكن مراجعة رمز المشروع من قبل القبعات البيضاء كما تشاء ، مع عدم وجود قيود في الخلفية (قد يكون هناك موظفين من شركات تدقيق مهنية ، وقد يكون هناك محللون أمنيون مستقلون) ، الترسانة غير محدودة ، وكل ما يتعين على العملاء فعله هو تعيين مكافأة معقولة ودفع مساهمتهم عندما تجد القبعة البيضاء مشكلة.
عادةً ما يرسل العملاء أولاً رمزهم الذي يحتاج إلى المراجعة بواسطة القبعة البيضاء ، ويحدد مستوى الأمان للثغرة الأمنية (عادةً ما تكون مرتبطة بالخسارة الاقتصادية المحتملة ، فكلما كانت الثغرة الأمنية التي تسبب خسارة اقتصادية أسهل ، كلما ارتفع مستوى الخطورة) وميزانية المكافأة ونطاق رمز الاختبار وحتى خطوات الاختبار.
** ما هو حجم السوق؟ **
عادة ما يكون نموذج الأعمال لمنصات المكافآت ومسابقات التدقيق هو سحب جزء من المكافأة التي يدفعها العملاء أو إجمالي مجموع المكافآت الذي تم إعداده كرسوم خدمة للمنصة. سيعلن العملاء (أطراف المشروع) الذين يحتاجون إلى عمليات تدقيق أمان الكود عن خططهم على منصة المكافآت وفقًا لاحتياجاتهم الخاصة (الرموز التي يجب تدقيقها ، وكيفية تحديد مدى خطورة الثغرات الأمنية ، ومقدار المكافأة التي يرغبون في دفعها) ، سيتم العثور على الثغرات الأمنية للقبعات البيضاء وفقًا لاحتياجات جانب المشروع. بمجرد العثور على الثغرات بواسطة القبعات البيضاء وتلبية احتياجات جانب المشروع ، سيتم توزيع المكافأة على القبعات البيضاء ، وستقوم منصة المكافآت برسم عمولة منه كرسم خدمة.
في مجال أمان الشبكة التقليدية لـ Web2 ، تعد منصة bugbounty أيضًا اتجاهًا جديدًا نسبيًا (ظهر بعد عام 2012) ، وأكبر منصات مكافآت الأخطاء حاليًا هي HackerOne و Bugcrowd. في عام 2022 ، ستصل الإيرادات السنوية لـ HackerOne إلى 58 مليون دولار أمريكي ، وسيصل تقييم الشركة إلى حوالي 500 مليون دولار أمريكي ، وستكون المكافأة التراكمية المدفوعة في التاريخ 230 مليون دولار أمريكي (2021 و 2022 ستدفع 150 مليون دولار أمريكي كمكافآت) ، وسيتم اكتشاف أكثر من 65000 برنامج ثغرات ، مع أكثر من مليون متسلل مسجل ، وأكثر من 1000 عميل يستخدمون خدمات HackerOne كل شهر. ومن المتوقع أن يحقق منافسها ، Bugcrowd ، إيرادات تزيد عن 20 مليون دولار في عام 2022.
في مجال أمان Web3 ، في عام 2022 ، ستوزع جميع منصات منافسة أخطاء web3 ومراجعة الحسابات ما مجموعه 50 مليون دولار أمريكي من المكافآت على قراصنة القبعة البيضاء ، ومتوسط مستوى رسوم هذه المنصات يتراوح بين 10٪ إلى 30٪ ، لذلك يقدر بشكل متحفظ أن حجم السوق الحالي يتراوح بين 5 ملايين و 15 مليون دولار ، ولا يزال سوقًا ناشئًا للغاية.
شيء آخر مثير للاهتمام هو أن المزيد والمزيد من العملاء على استعداد لاستخدام خدمات تدقيق الكود التي يوفرها هذا المجتمع الأمني اللامركزي بشكل مباشر.المثال الأكثر شهرة هو أن Opensea لم تجد مباشرة خدمة تدقيق المستوى الثاني قبل إطلاق منصتها الجديدة Seaport. اختارت شركة تدقيق ثلاثية الأطراف Code4Rena ، أكبر منصة منافسة للتدقيق اللامركزي في الوقت الحالي ، وأنشأت مجموعة جوائز بقيمة مليون دولار أمريكي. واليوم ، يشارك سوق تدقيق الأمان التقليدي بشكل متزايد (حجم الموارد البشرية ، أدوات تقنية الحجم ، حجم السوق BD) ، هل ستكون الخدمات الأمنية اللامركزية نموًا مهمًا في هذا السوق؟ (يوجد حاليًا 56 شركة تدقيق في السوق ، وقد تراوحت إيرادات الشركات الرائدة في العام الماضي من 10 إلى 40 مليون دولار أمريكي. أعتقد أن هناك مجالًا كبيرًا للخيال في سوق الأمان اللامركزي).
** Bug Bounty Platform vs Audit Contest Platform **
على الرغم من أن منصة bug bounty لها تاريخ تطوير مدته عشر سنوات في web2 ، إلا أن منصة منافسة التدقيق تعد شيئًا جديدًا في web3 الأصلي. الهدف من خدمة منافسة التدقيق هو أطراف المشروع الذين هم على وشك إطلاق منتجات أو بعض الوظائف الجديدة ، واستخدام قوة المجتمع اللامركزي لمساعدتهم على إكمال خدمة التدقيق في غضون فترة زمنية محددة (أكثر من أسبوعين). من هذا المنظور ، فإن المنافسة في التدقيق لن تجلب أي تهديد للأعمال الصغيرة لشركات التدقيق التقليدية.
سأوضح أدناه الاختلافات بين النظامين الأساسيين من حيث طرق المشاركة ، وهيكل المكافآت ، وتغطية الاختبار:
** طريقة المشاركة **
عادةً ما تكون منصات مكافآت الأخطاء مثل Immunefi مشاريع مفتوحة حيث يمكن لأي شخص المشاركة في أي وقت. عادةً ما يقوم المشاركون باستكشاف الثغرات والإبلاغ عنها بشكل مستقل مقابل الحصول على مكافآت. إذا وجد شخصان نفس الضعف المتكرر ، فسيتم اتباع مبدأ من يأتي أولاً يخدم أولاً ، وأي شخص يقدم التقرير أولاً سيحصل على المكافأة أولاً.
غالبًا ما تكون منصات منافسة التدقيق التي يقودها المجتمع (مثل Code4rena و Sherlock) محدودة الوقت وتتنافس مع المشاركين للعثور على نقاط الضعف والإبلاغ عنها في إطار زمني معين. مقارنة بمنصة المكافآت ، سيكون هناك بعض العمل الجماعي (على سبيل المثال ، سيكون لكل مشروع مهمة واضحة من كبير مدققي الحسابات ورئيس القضاة ، وأخيرًا مراجعة وتلخيص جميع نتائج التدقيق في تقرير تدقيق للعميل ، وهذان القائدان كما تتبع مبدأ اللامركزية في الانتخابات والمسابقات المجتمعية). بالإضافة إلى ذلك ، إذا وجد اثنان من المنافسين في التدقيق ثغرات متكررة خلال الوقت المحدد ، فيمكن لكليهما الحصول على مكافآت.
** هيكل المكافأة **
المكافآت الفعلية الصادرة عن كلاهما ستأخذ في الاعتبار بشكل أساسي شدة الثغرة الأمنية المكتشفة.
الاختلاف الوحيد هو أن منصة منافسة تدقيق يحركها المجتمع مثل Code4Rena ستحصل على جزء ثابت (5٪ ~ 10٪) من مجموع المكافآت لكل مشروع مخصص لكبير مدققي الحسابات والقضاة الرئيسيين ، لأنهم يضطلعون بالفعل بدور المشروع قادة شركات التدقيق التقليدية.
نقطة أخرى مثيرة للاهتمام هي أن طرف المشروع على منصة bug bounty يضع أحيانًا الرموز المميزة للمشروع كمكافآت ، لكني أرى أيضًا أن بعض المتسللين ذوي القبعات البيضاء في المجتمع يفضلون الحصول على عملات USDC و USDT مستقرة بدلاً من الرموز المميزة لمشروع تقلبات الأسعار.
** النطاق والتركيز **
عادةً ما يكون لمشاريع منصة Bug bounty نطاق واسع ، في حين أن المشاريع في مسابقات التدقيق عادةً ما يكون لها نطاق أكثر تركيزًا ، وتستهدف وظيفة أو جانبًا معينًا من البرنامج ، بينما تتطلب من القبعات البيضاء التركيز على إكمال العمل في فترة زمنية أقصر.
** مشاريع تركز على تدقيق المسابقات **
** Code4Rena ** - منصة منافسة تدقيق قائمة على المجتمع تشبه الرياضات الإلكترونية
يحتوي Code4Rena على ثلاثة أنواع من الأحرف:
1 ** المدقق ** (المراقبون) كود المراجعة. يمكن لأي شخص من مهندس أمني محترف إلى مطور مبتدئ يحاول اكتساب المزيد من الخبرة التسجيل كمدقق للمشاركة في مسابقة التدقيق العام.
2 ** القضاة ** (القضاة) هم عادة أفضل المهندسين في مجتمع C4. فهي تحدد شدة وفعالية وجودة نقاط الضعف وتقييم أداء التدقيق.
3 ** الرعاة ** (الرعاة) هم أطراف المشروع ، مثل Opensea ، و Blur ، و ENS ، و Chainlink ، وما إلى ذلك ، ويقومون بإنشاء مجموعات إضافية لجذب المراجعين لتدقيق رمز مشاريعهم. يتوفر للرعاة أيضًا خيار استضافة مسابقات خاصة بدعوات فقط لمزيد من الخصوصية.
واحدة من أكثر النقاط إثارة للاهتمام هي الثقافة التي تبنيها Code4Rena: يتم تشجيع التعاون والعمل الجماعي. على عكس برامج مكافآت الأخطاء التقليدية ، يدفع Code4Rena جميع المدققين الذين يبلغون عن ثغرة أمنية صالحة حتى لو تم الإبلاغ عن الثغرة الأمنية بالفعل. يشجع ذلك على المنافسة الصحية بين المدققين حيث يتم تحفيزهم لإيجاد نقاط ضعف شديدة الخطورة ومشتركة. على هذا النظام الأساسي ، سيشكل بعض المدققين فرقًا مؤقتة لإيجاد ثغرات معًا.
نموذج العمل:
يمكن لأي مشروع الانتقال إلى Code4rena لبدء برنامج منافسة تدقيق وتقديم USDC أو ETH لإعداد مجموعة جوائز أساسية (عادةً ما يكون حجم مجموعة الجوائز 40،000 ~ 100،000 $) ، وسيتقاضى Code4rena 20٪ من مجموع الجوائز الأساسي مثل منصة لتنظيم المسابقات ، وتقديم المراجعات ، وتنظيم مخرجات التدقيق إيرادات الخدمة للإبلاغ عن النتائج. يمكن لحزب المشروع أيضًا توفير الرموز المميزة للمشروع أعلى مجموعة الجوائز الأساسية لإعداد مجموعة جوائز إضافية ، وستتقاضى Code4rena 40٪ من مجموع الجوائز الإضافي هذا.
** Sherlock ** - تدقيق يحركه المجتمع مع تأمين عقد ذكي
على غرار Code4rena ، يقوم Sherlock أيضًا بأدوار مثل المدققين والجهات الراعية والقضاة. يكمن تفرد Sherlock في خدمات التأمين التي توفرها المنصة. يمكن لأي شخص الاستثمار في مجمع التأمين على منصة Sherlock ، حيث يقوم المستثمرون بإيداع USDC في مجمع التأمين ، ويمكن لعملاء الاتفاق شراء الخدمات للتحوط من مخاطر اختراق العقود الذكية. تشمل مصادر الدخل لمستثمري التأمين: الأقساط المدفوعة بموجب اتفاق مع العملاء + الفائدة المكتسبة من خلال إيداع أموال مجمعة التأمين في مجمعات DeFi الأخرى (Aave ، Compound ، إلخ) + حوافز رمز Sherlock. لكن المستثمر يتحمل مخاطر سداد السياسة مع جني الفوائد.
هناك نقطة أخرى تختلف عن Code4rena وهي آلية توزيع دخل خدمة التدقيق التي توفرها المنصة. بالمقارنة مع Code4rena ، لدى Sherlock قواعد تسمح لكبير مدققي الأمن وكبير القضاة بالحصول على مبلغ ثابت (5٪ ~ 10٪) من مجموعة المكافآت لتعويض وتحفيز كبار المدققين المتفرغين بشكل صحيح. بالإضافة إلى ذلك ، هناك أنظمة الاختيار والمنافسة لاختيار الأدوار القيادية.
** كيف نبني مجتمع متسللين؟ ما هو أكبر مصدر قلق للقبعات البيضاء Web3؟ **
بعد أن لاحظنا مجتمعات أمنية لامركزية مختلفة (ImmuneFi و Hats Finance و Code4Rena و Sherlock وما إلى ذلك) وتحدثنا مع بعض رواد الأعمال في مجال الأمن ، نعتقد أن ما تكرس جميع المنصات اللامركزية للقيام به هو بناء منصة اتصال وتعاون أكثر صحة وفعالية ، تعتبر منصة المكافآت بمثابة سوق بين المتسللين والمشاريع ، يجب عليهم مراعاة احتياجاتهم من منظور المتسللين (كما هو موضح في الجدول أدناه) ، وفي نفس الوقت النظر في ما يهتم به فريق المشروع أكثر من منظور المشروع (جودة المراجعة).
المصدر: 《Bug Hunters 'Perspecters on the Challenges and Benefits of the Bug Bounty Eco
بالإضافة إلى بعض الاحتياجات المشتركة ، رأيت أيضًا بعض الموضوعات المثيرة للاهتمام في مجتمع القبعة البيضاء Immunefi (مجتمع القبعة البيضاء الأكثر حيوية الذي رأيته).
على سبيل المثال:
هناك قبعة بيضاء تدعى Rappie يريد الكشف عن بعض ثغرات المشروع التي اكتشفها من قبل ، ويسأل عن قواعد المجتمع التي يجب اتباعها. (1. انشر الأخطاء التي تم إصلاحها فقط. 2. تأكد من أن أي معلومات عامة ليس لها تأثير سلبي على البروتوكول أو مستخدميها. احتفظ بالمعلومات السرية ، على سبيل المثال ، بعد إصلاح ثغرة إدخال SQL ، لا تنشر معلومات حولها بالكامل 3. تأكد من أنك بحاجة إلى إرسال رسالة خاصة إلى فريق المشروع قبل إتاحتها للعامة).
لدى قبعة بيضاء تُدعى نعوم ياكوف شكوك حول تعريف مشروع المكافأة (يحدث هذا غالبًا ، لأنه عادةً ما يتم مكافأة الثغرات الأمنية الخطيرة فقط. كيف يحدد المشروع مستوى الأمان للثغرة الأمنية؟ شيء تهتم به القبعات البيضاء بشدة ، والمجتمع يسمع كثيرًا عن مثل هذه النزاعات). في مشروع مكافأة Uniwhales ، كانت لديه شكوك حول تعريفهم لتأثير MEV باعتباره ثغرة أمنية خطيرة. في النهاية ، ناقش الجميع أن هذا النوع من الوصف لا ينطبق على جميع حالات MEV. على سبيل المثال ، بالنسبة لبعض تدفقات الطلبات السامة ، تجمع البروتوكولات إن حالة استنزاف الأصول هي بالتأكيد حادثة أمنية خطيرة (لذا فإن تحديد مجموعة من أطر عمل مستوى الأمان غالبًا ما لا يكون كافيًا ، وعادة ما يتطلب مشاركة أدوار مماثلة للمحكمين في النظام الأساسي في حالات مختلفة فعلية).
وبالنسبة لموضوع مثير للاهتمام للغاية ، "ما هي مطالبك وتوقعاتك لمنصة مكافأة مثل Immunefi؟" أعطت قبعة بيضاء اسمها ckksec إجابته: 1) ساعد هذه القبعات البيضاء المشفرة المجهولة في كسب دخلها من العمل. قم ببعض التوضيحات القانونية مثل إصدار الفواتير. 2) يجب ألا تحتوي المنصة على نظام تسجيل للقبعات البيضاء فحسب ، بل يجب أيضًا أن تسجل جودة المشروع لأن القبعات البيضاء غالبًا ما تحتاج إلى قضاء بعض الوقت في تمييز جودة المشروع. 3) بالنسبة للقبعات البيضاء الراغبين في فتح ملفهم الشخصي ، يمكن للمنصة إظهار سير العمل الخاص بهم.في نفس الوقت ، من الأفضل للمنصة أن تعرض بشكل أكثر شفافية معلومات تقرير تحليل الأمان التي يتلقاها طرف المشروع.
** ما هي الأدوات التي يمكن أن تساعد القبعات البيضاء؟ **
مع إطلاق LLMs GPT ، سمعت مؤخرًا أشخاصًا يناقشون كثيرًا ما إذا كان يمكن أيضًا استبدال عمليات تدقيق الأمان بالذكاء الاصطناعي. يعتقد الممارسون الأمنيون ذوو الخبرة الذين تحدثت معهم عمومًا أن GPT من الصعب استبدال الحكمة البشرية بشكل مباشر. وقد يتم اكتشاف بعض الثمار المتدنية (المشكلات التي يسهل العثور عليها) بواسطة نماذج اللغة ، ولكن تلك المشكلات ذات المخاطر المتوسطة والعالية لا تزال تتطلب خبيرًا مشاركة. على سبيل المثال ، وفقًا لتعليقات خبير أمني كبير ، لتحليل بيانات مماثل وتحليل ديناميكي ، يجب دمج هذه الاختبارات الأكثر تعقيدًا بشكل مصطنع مع منطق العمل الفعلي للبروتوكول لإجراء اختبارات تحليل الأمان مسبقًا وتحديد الهدف المتوقع سمات الاختبار مقدمًا ، وأصعب جزء هو كتابة خصائص جيدة وتحديد حقل الاختبار الصحيح. وفقًا لتجاربهم على GPT ، فإنهم يعتقدون أن GPT لا يمكن أن تحل محل البشر تمامًا في هذه المرحلة.
بالطبع ، هناك حاليًا نتائج أكثر تفاؤلاً تُظهر أن LLM يمكنها تحسين كفاءة تحليل أدوات تحليل الأمان بشكل كبير وتقليل المعدل الإيجابي الخاطئ:
لنفكر في هذا الموضوع من منظور آخر غير تقني مثير للاهتمام. إنها لعبة ديناميكية بين مهاجمي الأمن والمدافعين. الارتفاع السحري أعلى بمقدار قدم والارتفاع أعلى. هل سيجلب الذكاء الاصطناعي تحديات أمنية لمهاجمي الأمن؟ يساعد؟
** السلامة هدفها الناس **
سيعتقد الناس عادة أن البرنامج شيء بارد وميكانيكي ومنطقي ، وتحسين أمان النظام يحتاج فقط إلى تحسين مستوى تكنولوجيا التحليل والدفاع عن النظام. ومع ذلك ، يفتقر الناس إلى التفكير في القضايا الأمنية من منظور الحوافز الاقتصادية والطبيعة البشرية. في الغابة المظلمة من التعليمات البرمجية مفتوحة المصدر ، نحتاج إلى نظام توزيع يتماشى بشكل أكبر مع افتراضات الأشخاص العقلانيين. الأشخاص الذين يساهمون بالحكمة في الانضمام إلى أمن النظام.
هيكل سوق تدقيق الأمان التقليدي الحالي مستقر ، وسمعة العلامة التجارية هي أهم الأصول غير الملموسة للشركات في هذا المجال. بمرور الوقت ، ازداد تأثير العلامات التجارية الأمنية العليا وثقة العملاء بشكل مطرد ، ولكن عمليات تدقيق الأمان التقليدية لها أيضًا المشاكل الخاصة (يعتمد نموذج العمل فقط على القوى العاملة ومن الصعب أن ينمو على نطاق واسع ، وتحتاج الشركات الرائدة إلى تحقيق التوازن بين النمو وجودة التدقيق. وقد واجهت بعض الشركات مثل هذا الاختناق بل أثرت على قيمة العلامة التجارية).
** تعد مسابقة تدقيق الأمان التي يقودها المجتمع نموذجًا تجاريًا مبتكرًا. ** حاليًا ، تجاوز عدد عملاء النظامين 300 عميل وتم العثور على PMF تدريجيًا. ** تعد منصة المكافآت مكملاً جيدًا لدورة حياة الأمان. * * على الرغم من أن هذه المنصات اللامركزية لم تجد بعد نموذجًا رمزيًا فعالًا بشكل خاص ، إلا أننا متفائلون جدًا بشأن النمو واسع النطاق لهذا السوق في المستقبل (لأن حكمة الجمهور مناسبة جدًا لسيناريوهات اللعبة الهجومية والدفاعية في سوق الأمان).
** هل ستشكل منصات التدقيق التي يقودها المجتمع تهديدًا لشركات التدقيق المركزية؟ ** نعتقد أنه سيكون لديهم منافسة متبادلة حميدة وعلاقة تكميلية. على المدى القصير ، عندما تشكل منصة مثل Code4rena تأثيرًا معينًا على الشبكة ولديها سجل إنجازات جيد (نسبة المشاريع التي تم تدقيقها والتي يتم اختراقها منخفضة) ، فقد يكون ذلك في الواقع ، سيؤدي إعطاء بعض الشركات المركزية في الوسط والذيل إلى ضغوط تنافسية معينة ، ولكن على المدى الطويل ، قد يؤدي ذلك أيضًا إلى إجبار منصة التدقيق المركزية على تكوين بعض التعاون التجاري مع النظام الأساسي الذي يحركه المجتمع ، لأن هذا يمكن أن يوسع أيضًا عملاء مجموعة منصة تدقيق الأمان المركزي وتحسين جودة التدقيق ** (يشبه إلى حد ما مشروع المكافأة الأمنية الأصلي الذي تم تشغيله بشكل مستقل من قبل شركة ويب 2 رئيسية وشكل لاحقًا منطق تعاون مع منصات تابعة لجهات خارجية مثل HackerOne).
على الرغم من أن اتجاه النظام الأساسي الأمني الذي يحركه المجتمع هو أن يكون أكثر توجهاً نحو DAO (يمكن تضمين Forta بالفعل في هذه الفئة) ، في التشغيل الفعلي للمشروع الحالي ، لا تزال هناك مشكلات مثل: كيفية جعل سير العمل و عملية التوزيع الاقتصادي أكثر شفافية وانفتاحًا ، وكيفية الموازنة بين اعتبارات الخصوصية والأمان لطرف المشروع ، وكيفية تحديد العلاقة بين العمل الجماعي والمساهمة الشخصية بشكل أوضح ، وكيفية حل المشكلة بطريقة أكثر إنصافًا واحترافية عند تضارب المصالح تنشأ ، إلخ. هذه هي الأشياء التي يحتاجها DAOs الأمنية لمواجهة التحدي الصحيح.
شاهد النسخة الأصلية
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
حشد الذكاء في الأمن - مكافأة يحركها المجتمع وتدقيق السوق
بواسطة راي ، IOSG Ventures
كنظام كمبيوتر واسع النطاق ، تجاوز تعقيد النظام الحالي لـ blockchain بكثير المستوى الذي كان عليه قبل 5 سنوات ، ودرجة تشكيل البنية التحتية أصبحت أكثر دقة ، وأصبح منطق العقود الذكية في طبقة التطبيق أكثر وفرة ، و التفاعل بين العقود متكرر للغاية ، والأهم من ذلك ، أن عدد الأصول التي يديرها نظام blockchain كبير جدًا بالفعل ، لذلك كان هناك المزيد من المناقشات حول دورة الأمان في مجتمع أمان blockchain مؤخرًا (الوضع هو نفسه كما في عام 2017 ، عندما يذكر الناس الأمان ، فإنهم لا يفكرون إلا في المطورين. يختلف الأمر كثيرًا عن كتابة العقد وإلقاءه على أصدقاء مؤسسة Ethereum لإلقاء نظرة وإجراء بعض الاختبارات الأساسية).
طوال دورة حياة الأمان لبرامج blockchain (من الاختبار ، ودعوة عمليات تدقيق من طرف ثالث إلى مراقبة ما بعد الحدث ، وتحديث عمليات التدقيق) ، يشبه مجتمع bug bounty وسادة أمان لجذب القبعات البيضاء من خلال نظرية اللعبة والعمل العنقودي. مراجعة كود طرف المشروع ، ويشعر بعض عمال أمن العقود الأذكياء أن مكافأة الخطأ تشبه إلى حد بعيد الرجل الأخير على خط الدفاع ، لكنني أعتقد أن مكافأة الأخطاء ومنافسة التدقيق لديها القدرة على لعب دور أكبر في المستقبل ، بمثابة دور تؤدي الأدوار طوال دورة حياة الأمان بأكملها إلى تحسين أمان النظام ككل. **
بالطبع ، هناك أيضًا برامج مكافآت الأخطاء (Bug Bounty أو Vulnerabilty Rewards) في مجال أمان الشبكات التقليدية. أولاً ، ستقوم شركات التكنولوجيا الكبرى مثل Facebook و Google و Microsoft وغيرها بنشر برامج المكافآت لفرق الأمن الداخلية الخاصة بها و خطوط إنتاجهم الخاصة. ثانيًا ، ظهرت منصات الطرف الثالث Bug bounty التي يمثلها HackerOne و Bugcrowd منذ حوالي عام 2015. حاليًا ، تعتمد هاتان الشركتان الأمنيتان الرائدتان على سحوبات المكافآت كدخل رئيسي لهما ، ويمكن أن يصل دخلهما السنوي إلى ما يقرب من 50 مليون دولار أمريكي. و 20 مليون دولار امريكى على التوالى. في عالم blockchain ، تعد المكافأة موضوعًا أكثر إثارة للاهتمام تتم مناقشته غالبًا في دائرة الأمان. والسبب الرئيسي هو أن المصدر المفتوح لرمز blockchain يجعل تكلفة القرصنة وتحسين استراتيجيات الهجوم أرخص. إن تجمعات اقتصادات العمل والمبدع والملكية مفتوحة لنماذج المساهمة التي تجعل اقتصاد القبعة البيضاء أكثر انفتاحًا أكثر قيمة.
** ما هي مكافآت الأخطاء ومسابقات التدقيق؟ لماذا نحتاجها؟ **
الأمن هي لعبة ديناميكية بين المهاجم والمدافع ، تمامًا كما قال خبير أمان الكمبيوتر وعالم التشفير بروس شناير ، "الأمن عملية وليست منتجًا. إنها طريقة تفكير يجب أن تتم خلال عملية تطوير البرامج كل جانب. "في عالم blockchain ، الغابة المظلمة حيث تكون جميع الرموز مفتوحة المصدر وشفافة ، يجب أن يكون لمشروع blockchain الذي يريد البقاء لفترة طويلة احتياجات أبدية لأمن منتجاته / عقوده.جميع المنتجات المتسلسلة لها موارد مالية أكثر أو أقل السمات: أهم الأصول في التمويل هي الثقة ، وثقة المستخدم مرة واحدة فقط.
أين أوجه قصور ومشاكل التدقيق التقليدي؟ ما هي المزايا التي يمكن أن تعوضها مكافآت الأخطاء التي يحركها المجتمع ومسابقات التدقيق عن هذه المشكلات؟
غالبًا ما يجد المطورون الذين يستخدمون خدمات التدقيق ما يلي:
** ما هو حجم السوق؟ **
عادة ما يكون نموذج الأعمال لمنصات المكافآت ومسابقات التدقيق هو سحب جزء من المكافأة التي يدفعها العملاء أو إجمالي مجموع المكافآت الذي تم إعداده كرسوم خدمة للمنصة. سيعلن العملاء (أطراف المشروع) الذين يحتاجون إلى عمليات تدقيق أمان الكود عن خططهم على منصة المكافآت وفقًا لاحتياجاتهم الخاصة (الرموز التي يجب تدقيقها ، وكيفية تحديد مدى خطورة الثغرات الأمنية ، ومقدار المكافأة التي يرغبون في دفعها) ، سيتم العثور على الثغرات الأمنية للقبعات البيضاء وفقًا لاحتياجات جانب المشروع. بمجرد العثور على الثغرات بواسطة القبعات البيضاء وتلبية احتياجات جانب المشروع ، سيتم توزيع المكافأة على القبعات البيضاء ، وستقوم منصة المكافآت برسم عمولة منه كرسم خدمة.
في مجال أمان الشبكة التقليدية لـ Web2 ، تعد منصة bugbounty أيضًا اتجاهًا جديدًا نسبيًا (ظهر بعد عام 2012) ، وأكبر منصات مكافآت الأخطاء حاليًا هي HackerOne و Bugcrowd. في عام 2022 ، ستصل الإيرادات السنوية لـ HackerOne إلى 58 مليون دولار أمريكي ، وسيصل تقييم الشركة إلى حوالي 500 مليون دولار أمريكي ، وستكون المكافأة التراكمية المدفوعة في التاريخ 230 مليون دولار أمريكي (2021 و 2022 ستدفع 150 مليون دولار أمريكي كمكافآت) ، وسيتم اكتشاف أكثر من 65000 برنامج ثغرات ، مع أكثر من مليون متسلل مسجل ، وأكثر من 1000 عميل يستخدمون خدمات HackerOne كل شهر. ومن المتوقع أن يحقق منافسها ، Bugcrowd ، إيرادات تزيد عن 20 مليون دولار في عام 2022.
في مجال أمان Web3 ، في عام 2022 ، ستوزع جميع منصات منافسة أخطاء web3 ومراجعة الحسابات ما مجموعه 50 مليون دولار أمريكي من المكافآت على قراصنة القبعة البيضاء ، ومتوسط مستوى رسوم هذه المنصات يتراوح بين 10٪ إلى 30٪ ، لذلك يقدر بشكل متحفظ أن حجم السوق الحالي يتراوح بين 5 ملايين و 15 مليون دولار ، ولا يزال سوقًا ناشئًا للغاية.
شيء آخر مثير للاهتمام هو أن المزيد والمزيد من العملاء على استعداد لاستخدام خدمات تدقيق الكود التي يوفرها هذا المجتمع الأمني اللامركزي بشكل مباشر.المثال الأكثر شهرة هو أن Opensea لم تجد مباشرة خدمة تدقيق المستوى الثاني قبل إطلاق منصتها الجديدة Seaport. اختارت شركة تدقيق ثلاثية الأطراف Code4Rena ، أكبر منصة منافسة للتدقيق اللامركزي في الوقت الحالي ، وأنشأت مجموعة جوائز بقيمة مليون دولار أمريكي. واليوم ، يشارك سوق تدقيق الأمان التقليدي بشكل متزايد (حجم الموارد البشرية ، أدوات تقنية الحجم ، حجم السوق BD) ، هل ستكون الخدمات الأمنية اللامركزية نموًا مهمًا في هذا السوق؟ (يوجد حاليًا 56 شركة تدقيق في السوق ، وقد تراوحت إيرادات الشركات الرائدة في العام الماضي من 10 إلى 40 مليون دولار أمريكي. أعتقد أن هناك مجالًا كبيرًا للخيال في سوق الأمان اللامركزي).
** Bug Bounty Platform vs Audit Contest Platform **
على الرغم من أن منصة bug bounty لها تاريخ تطوير مدته عشر سنوات في web2 ، إلا أن منصة منافسة التدقيق تعد شيئًا جديدًا في web3 الأصلي. الهدف من خدمة منافسة التدقيق هو أطراف المشروع الذين هم على وشك إطلاق منتجات أو بعض الوظائف الجديدة ، واستخدام قوة المجتمع اللامركزي لمساعدتهم على إكمال خدمة التدقيق في غضون فترة زمنية محددة (أكثر من أسبوعين). من هذا المنظور ، فإن المنافسة في التدقيق لن تجلب أي تهديد للأعمال الصغيرة لشركات التدقيق التقليدية.
سأوضح أدناه الاختلافات بين النظامين الأساسيين من حيث طرق المشاركة ، وهيكل المكافآت ، وتغطية الاختبار:
** طريقة المشاركة **
عادةً ما تكون منصات مكافآت الأخطاء مثل Immunefi مشاريع مفتوحة حيث يمكن لأي شخص المشاركة في أي وقت. عادةً ما يقوم المشاركون باستكشاف الثغرات والإبلاغ عنها بشكل مستقل مقابل الحصول على مكافآت. إذا وجد شخصان نفس الضعف المتكرر ، فسيتم اتباع مبدأ من يأتي أولاً يخدم أولاً ، وأي شخص يقدم التقرير أولاً سيحصل على المكافأة أولاً.
غالبًا ما تكون منصات منافسة التدقيق التي يقودها المجتمع (مثل Code4rena و Sherlock) محدودة الوقت وتتنافس مع المشاركين للعثور على نقاط الضعف والإبلاغ عنها في إطار زمني معين. مقارنة بمنصة المكافآت ، سيكون هناك بعض العمل الجماعي (على سبيل المثال ، سيكون لكل مشروع مهمة واضحة من كبير مدققي الحسابات ورئيس القضاة ، وأخيرًا مراجعة وتلخيص جميع نتائج التدقيق في تقرير تدقيق للعميل ، وهذان القائدان كما تتبع مبدأ اللامركزية في الانتخابات والمسابقات المجتمعية). بالإضافة إلى ذلك ، إذا وجد اثنان من المنافسين في التدقيق ثغرات متكررة خلال الوقت المحدد ، فيمكن لكليهما الحصول على مكافآت.
** هيكل المكافأة **
المكافآت الفعلية الصادرة عن كلاهما ستأخذ في الاعتبار بشكل أساسي شدة الثغرة الأمنية المكتشفة.
الاختلاف الوحيد هو أن منصة منافسة تدقيق يحركها المجتمع مثل Code4Rena ستحصل على جزء ثابت (5٪ ~ 10٪) من مجموع المكافآت لكل مشروع مخصص لكبير مدققي الحسابات والقضاة الرئيسيين ، لأنهم يضطلعون بالفعل بدور المشروع قادة شركات التدقيق التقليدية.
نقطة أخرى مثيرة للاهتمام هي أن طرف المشروع على منصة bug bounty يضع أحيانًا الرموز المميزة للمشروع كمكافآت ، لكني أرى أيضًا أن بعض المتسللين ذوي القبعات البيضاء في المجتمع يفضلون الحصول على عملات USDC و USDT مستقرة بدلاً من الرموز المميزة لمشروع تقلبات الأسعار.
** النطاق والتركيز **
عادةً ما يكون لمشاريع منصة Bug bounty نطاق واسع ، في حين أن المشاريع في مسابقات التدقيق عادةً ما يكون لها نطاق أكثر تركيزًا ، وتستهدف وظيفة أو جانبًا معينًا من البرنامج ، بينما تتطلب من القبعات البيضاء التركيز على إكمال العمل في فترة زمنية أقصر.
** مشاريع تركز على تدقيق المسابقات **
** Code4Rena ** - منصة منافسة تدقيق قائمة على المجتمع تشبه الرياضات الإلكترونية
يحتوي Code4Rena على ثلاثة أنواع من الأحرف:
1 ** المدقق ** (المراقبون) كود المراجعة. يمكن لأي شخص من مهندس أمني محترف إلى مطور مبتدئ يحاول اكتساب المزيد من الخبرة التسجيل كمدقق للمشاركة في مسابقة التدقيق العام.
2 ** القضاة ** (القضاة) هم عادة أفضل المهندسين في مجتمع C4. فهي تحدد شدة وفعالية وجودة نقاط الضعف وتقييم أداء التدقيق.
3 ** الرعاة ** (الرعاة) هم أطراف المشروع ، مثل Opensea ، و Blur ، و ENS ، و Chainlink ، وما إلى ذلك ، ويقومون بإنشاء مجموعات إضافية لجذب المراجعين لتدقيق رمز مشاريعهم. يتوفر للرعاة أيضًا خيار استضافة مسابقات خاصة بدعوات فقط لمزيد من الخصوصية.
واحدة من أكثر النقاط إثارة للاهتمام هي الثقافة التي تبنيها Code4Rena: يتم تشجيع التعاون والعمل الجماعي. على عكس برامج مكافآت الأخطاء التقليدية ، يدفع Code4Rena جميع المدققين الذين يبلغون عن ثغرة أمنية صالحة حتى لو تم الإبلاغ عن الثغرة الأمنية بالفعل. يشجع ذلك على المنافسة الصحية بين المدققين حيث يتم تحفيزهم لإيجاد نقاط ضعف شديدة الخطورة ومشتركة. على هذا النظام الأساسي ، سيشكل بعض المدققين فرقًا مؤقتة لإيجاد ثغرات معًا.
نموذج العمل:
يمكن لأي مشروع الانتقال إلى Code4rena لبدء برنامج منافسة تدقيق وتقديم USDC أو ETH لإعداد مجموعة جوائز أساسية (عادةً ما يكون حجم مجموعة الجوائز 40،000 ~ 100،000 $) ، وسيتقاضى Code4rena 20٪ من مجموع الجوائز الأساسي مثل منصة لتنظيم المسابقات ، وتقديم المراجعات ، وتنظيم مخرجات التدقيق إيرادات الخدمة للإبلاغ عن النتائج. يمكن لحزب المشروع أيضًا توفير الرموز المميزة للمشروع أعلى مجموعة الجوائز الأساسية لإعداد مجموعة جوائز إضافية ، وستتقاضى Code4rena 40٪ من مجموع الجوائز الإضافي هذا.
** Sherlock ** - تدقيق يحركه المجتمع مع تأمين عقد ذكي
على غرار Code4rena ، يقوم Sherlock أيضًا بأدوار مثل المدققين والجهات الراعية والقضاة. يكمن تفرد Sherlock في خدمات التأمين التي توفرها المنصة. يمكن لأي شخص الاستثمار في مجمع التأمين على منصة Sherlock ، حيث يقوم المستثمرون بإيداع USDC في مجمع التأمين ، ويمكن لعملاء الاتفاق شراء الخدمات للتحوط من مخاطر اختراق العقود الذكية. تشمل مصادر الدخل لمستثمري التأمين: الأقساط المدفوعة بموجب اتفاق مع العملاء + الفائدة المكتسبة من خلال إيداع أموال مجمعة التأمين في مجمعات DeFi الأخرى (Aave ، Compound ، إلخ) + حوافز رمز Sherlock. لكن المستثمر يتحمل مخاطر سداد السياسة مع جني الفوائد.
هناك نقطة أخرى تختلف عن Code4rena وهي آلية توزيع دخل خدمة التدقيق التي توفرها المنصة. بالمقارنة مع Code4rena ، لدى Sherlock قواعد تسمح لكبير مدققي الأمن وكبير القضاة بالحصول على مبلغ ثابت (5٪ ~ 10٪) من مجموعة المكافآت لتعويض وتحفيز كبار المدققين المتفرغين بشكل صحيح. بالإضافة إلى ذلك ، هناك أنظمة الاختيار والمنافسة لاختيار الأدوار القيادية.
** كيف نبني مجتمع متسللين؟ ما هو أكبر مصدر قلق للقبعات البيضاء Web3؟ **
بعد أن لاحظنا مجتمعات أمنية لامركزية مختلفة (ImmuneFi و Hats Finance و Code4Rena و Sherlock وما إلى ذلك) وتحدثنا مع بعض رواد الأعمال في مجال الأمن ، نعتقد أن ما تكرس جميع المنصات اللامركزية للقيام به هو بناء منصة اتصال وتعاون أكثر صحة وفعالية ، تعتبر منصة المكافآت بمثابة سوق بين المتسللين والمشاريع ، يجب عليهم مراعاة احتياجاتهم من منظور المتسللين (كما هو موضح في الجدول أدناه) ، وفي نفس الوقت النظر في ما يهتم به فريق المشروع أكثر من منظور المشروع (جودة المراجعة).
المصدر: 《Bug Hunters 'Perspecters on the Challenges and Benefits of the Bug Bounty Eco
بالإضافة إلى بعض الاحتياجات المشتركة ، رأيت أيضًا بعض الموضوعات المثيرة للاهتمام في مجتمع القبعة البيضاء Immunefi (مجتمع القبعة البيضاء الأكثر حيوية الذي رأيته).
على سبيل المثال:
هناك قبعة بيضاء تدعى Rappie يريد الكشف عن بعض ثغرات المشروع التي اكتشفها من قبل ، ويسأل عن قواعد المجتمع التي يجب اتباعها. (1. انشر الأخطاء التي تم إصلاحها فقط. 2. تأكد من أن أي معلومات عامة ليس لها تأثير سلبي على البروتوكول أو مستخدميها. احتفظ بالمعلومات السرية ، على سبيل المثال ، بعد إصلاح ثغرة إدخال SQL ، لا تنشر معلومات حولها بالكامل 3. تأكد من أنك بحاجة إلى إرسال رسالة خاصة إلى فريق المشروع قبل إتاحتها للعامة).
لدى قبعة بيضاء تُدعى نعوم ياكوف شكوك حول تعريف مشروع المكافأة (يحدث هذا غالبًا ، لأنه عادةً ما يتم مكافأة الثغرات الأمنية الخطيرة فقط. كيف يحدد المشروع مستوى الأمان للثغرة الأمنية؟ شيء تهتم به القبعات البيضاء بشدة ، والمجتمع يسمع كثيرًا عن مثل هذه النزاعات). في مشروع مكافأة Uniwhales ، كانت لديه شكوك حول تعريفهم لتأثير MEV باعتباره ثغرة أمنية خطيرة. في النهاية ، ناقش الجميع أن هذا النوع من الوصف لا ينطبق على جميع حالات MEV. على سبيل المثال ، بالنسبة لبعض تدفقات الطلبات السامة ، تجمع البروتوكولات إن حالة استنزاف الأصول هي بالتأكيد حادثة أمنية خطيرة (لذا فإن تحديد مجموعة من أطر عمل مستوى الأمان غالبًا ما لا يكون كافيًا ، وعادة ما يتطلب مشاركة أدوار مماثلة للمحكمين في النظام الأساسي في حالات مختلفة فعلية).
وبالنسبة لموضوع مثير للاهتمام للغاية ، "ما هي مطالبك وتوقعاتك لمنصة مكافأة مثل Immunefi؟" أعطت قبعة بيضاء اسمها ckksec إجابته: 1) ساعد هذه القبعات البيضاء المشفرة المجهولة في كسب دخلها من العمل. قم ببعض التوضيحات القانونية مثل إصدار الفواتير. 2) يجب ألا تحتوي المنصة على نظام تسجيل للقبعات البيضاء فحسب ، بل يجب أيضًا أن تسجل جودة المشروع لأن القبعات البيضاء غالبًا ما تحتاج إلى قضاء بعض الوقت في تمييز جودة المشروع. 3) بالنسبة للقبعات البيضاء الراغبين في فتح ملفهم الشخصي ، يمكن للمنصة إظهار سير العمل الخاص بهم.في نفس الوقت ، من الأفضل للمنصة أن تعرض بشكل أكثر شفافية معلومات تقرير تحليل الأمان التي يتلقاها طرف المشروع.
** ما هي الأدوات التي يمكن أن تساعد القبعات البيضاء؟ **
مع إطلاق LLMs GPT ، سمعت مؤخرًا أشخاصًا يناقشون كثيرًا ما إذا كان يمكن أيضًا استبدال عمليات تدقيق الأمان بالذكاء الاصطناعي. يعتقد الممارسون الأمنيون ذوو الخبرة الذين تحدثت معهم عمومًا أن GPT من الصعب استبدال الحكمة البشرية بشكل مباشر. وقد يتم اكتشاف بعض الثمار المتدنية (المشكلات التي يسهل العثور عليها) بواسطة نماذج اللغة ، ولكن تلك المشكلات ذات المخاطر المتوسطة والعالية لا تزال تتطلب خبيرًا مشاركة. على سبيل المثال ، وفقًا لتعليقات خبير أمني كبير ، لتحليل بيانات مماثل وتحليل ديناميكي ، يجب دمج هذه الاختبارات الأكثر تعقيدًا بشكل مصطنع مع منطق العمل الفعلي للبروتوكول لإجراء اختبارات تحليل الأمان مسبقًا وتحديد الهدف المتوقع سمات الاختبار مقدمًا ، وأصعب جزء هو كتابة خصائص جيدة وتحديد حقل الاختبار الصحيح. وفقًا لتجاربهم على GPT ، فإنهم يعتقدون أن GPT لا يمكن أن تحل محل البشر تمامًا في هذه المرحلة.
بالطبع ، هناك حاليًا نتائج أكثر تفاؤلاً تُظهر أن LLM يمكنها تحسين كفاءة تحليل أدوات تحليل الأمان بشكل كبير وتقليل المعدل الإيجابي الخاطئ:
لنفكر في هذا الموضوع من منظور آخر غير تقني مثير للاهتمام. إنها لعبة ديناميكية بين مهاجمي الأمن والمدافعين. الارتفاع السحري أعلى بمقدار قدم والارتفاع أعلى. هل سيجلب الذكاء الاصطناعي تحديات أمنية لمهاجمي الأمن؟ يساعد؟
** السلامة هدفها الناس **
سيعتقد الناس عادة أن البرنامج شيء بارد وميكانيكي ومنطقي ، وتحسين أمان النظام يحتاج فقط إلى تحسين مستوى تكنولوجيا التحليل والدفاع عن النظام. ومع ذلك ، يفتقر الناس إلى التفكير في القضايا الأمنية من منظور الحوافز الاقتصادية والطبيعة البشرية. في الغابة المظلمة من التعليمات البرمجية مفتوحة المصدر ، نحتاج إلى نظام توزيع يتماشى بشكل أكبر مع افتراضات الأشخاص العقلانيين. الأشخاص الذين يساهمون بالحكمة في الانضمام إلى أمن النظام.
هيكل سوق تدقيق الأمان التقليدي الحالي مستقر ، وسمعة العلامة التجارية هي أهم الأصول غير الملموسة للشركات في هذا المجال. بمرور الوقت ، ازداد تأثير العلامات التجارية الأمنية العليا وثقة العملاء بشكل مطرد ، ولكن عمليات تدقيق الأمان التقليدية لها أيضًا المشاكل الخاصة (يعتمد نموذج العمل فقط على القوى العاملة ومن الصعب أن ينمو على نطاق واسع ، وتحتاج الشركات الرائدة إلى تحقيق التوازن بين النمو وجودة التدقيق. وقد واجهت بعض الشركات مثل هذا الاختناق بل أثرت على قيمة العلامة التجارية).
** تعد مسابقة تدقيق الأمان التي يقودها المجتمع نموذجًا تجاريًا مبتكرًا. ** حاليًا ، تجاوز عدد عملاء النظامين 300 عميل وتم العثور على PMF تدريجيًا. ** تعد منصة المكافآت مكملاً جيدًا لدورة حياة الأمان. * * على الرغم من أن هذه المنصات اللامركزية لم تجد بعد نموذجًا رمزيًا فعالًا بشكل خاص ، إلا أننا متفائلون جدًا بشأن النمو واسع النطاق لهذا السوق في المستقبل (لأن حكمة الجمهور مناسبة جدًا لسيناريوهات اللعبة الهجومية والدفاعية في سوق الأمان).
** هل ستشكل منصات التدقيق التي يقودها المجتمع تهديدًا لشركات التدقيق المركزية؟ ** نعتقد أنه سيكون لديهم منافسة متبادلة حميدة وعلاقة تكميلية. على المدى القصير ، عندما تشكل منصة مثل Code4rena تأثيرًا معينًا على الشبكة ولديها سجل إنجازات جيد (نسبة المشاريع التي تم تدقيقها والتي يتم اختراقها منخفضة) ، فقد يكون ذلك في الواقع ، سيؤدي إعطاء بعض الشركات المركزية في الوسط والذيل إلى ضغوط تنافسية معينة ، ولكن على المدى الطويل ، قد يؤدي ذلك أيضًا إلى إجبار منصة التدقيق المركزية على تكوين بعض التعاون التجاري مع النظام الأساسي الذي يحركه المجتمع ، لأن هذا يمكن أن يوسع أيضًا عملاء مجموعة منصة تدقيق الأمان المركزي وتحسين جودة التدقيق ** (يشبه إلى حد ما مشروع المكافأة الأمنية الأصلي الذي تم تشغيله بشكل مستقل من قبل شركة ويب 2 رئيسية وشكل لاحقًا منطق تعاون مع منصات تابعة لجهات خارجية مثل HackerOne).
على الرغم من أن اتجاه النظام الأساسي الأمني الذي يحركه المجتمع هو أن يكون أكثر توجهاً نحو DAO (يمكن تضمين Forta بالفعل في هذه الفئة) ، في التشغيل الفعلي للمشروع الحالي ، لا تزال هناك مشكلات مثل: كيفية جعل سير العمل و عملية التوزيع الاقتصادي أكثر شفافية وانفتاحًا ، وكيفية الموازنة بين اعتبارات الخصوصية والأمان لطرف المشروع ، وكيفية تحديد العلاقة بين العمل الجماعي والمساهمة الشخصية بشكل أوضح ، وكيفية حل المشكلة بطريقة أكثر إنصافًا واحترافية عند تضارب المصالح تنشأ ، إلخ. هذه هي الأشياء التي يحتاجها DAOs الأمنية لمواجهة التحدي الصحيح.