index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html
![]()
本文报道了由前GitHub高管Oege de Moor创立的AI渗透测试工具Xbow,首次在HackerOne漏洞赏金平台登顶。Xbow通过自动化渗透测试,帮助企业发现系统安全漏洞,并已成功发现多家知名企业的安全漏洞。文章探讨了AI在网络安全攻防中的应用,以及由此带来的机遇与挑战。Xbow的出现,预示着“机器攻击机器”时代的到来,防御者有望在系统上线前修复漏洞,但也需要应对资金充足的攻击者利用AI进行攻击的挑战。
🥇 Xbow由前GitHub高管Oege de Moor创立,是一款AI驱动的渗透测试工具,通过自动化模拟黑客行为来发现系统安全漏洞。
💰 Xbow已完成7500万美元融资,累计获得1.17亿美元融资,投资方包括Altimeter Capital、红杉资本和NFDG。其主要客户来自大型金融服务和科技行业。
💡 Xbow已成功发现并报告了多家知名企业的安全漏洞,如亚马逊、迪士尼等。该工具在识别编码错误方面表现优异,但在理解由产品设计逻辑引发的漏洞时仍有不足。
🛡️ Xbow的出现预示着“机器攻击机器”时代的到来,防御者有望通过AI工具在系统上线前修复漏洞。未来,Xbow还计划提供修复建议和相应的代码示例。
⚠️ 尽管Xbow等AI工具在网络安全领域展现出巨大潜力,但同时也带来了挑战,如攻击者利用AI算法进行攻击,以及客户需要改变现有的工作方式。
带你读懂网络安全
渗透测试AI首次登顶漏洞赏金平台第一名,AI攻防、机器竞速的时代正在来临。
安全内参6月27日消息,一个名为Xbow的“黑客”登上了全球知名漏洞平台排行榜的第一名,该榜单统计谁发现并报告了最多的国际大型公司软件漏洞。然而,Xbow并非真人,而是由一家同名公司开发的AI工具。
据HackerOne联合创始人Michiel Prins介绍,这是首次有企业开发的AI产品凭借声誉在HackerOne美国排行榜中登顶。该排行榜根据发现漏洞的数量及其严重程度进行评定。作为一家仅成立一年的初创公司,Xbow刚刚完成一轮融资,筹集7500万美元,由Altimeter Capital领投,现有投资方红杉资本和NFDG也参与其中。公司近一年来已获得1.17亿美元(约合人民币8.4亿元)融资,但未透露最新的具体估值。Prins表示,安全研究人员和黑客长期以来致力于将工作流程自动化,在过去两年里,AI已成为关键工具。几乎所有的人类黑客如今都会使用AI辅助操作,目前已有少数几家公司在尝试进入该赛道,Prins将这类公司称为“黑客机器人(hackbot)公司”。
Xbow由前GitHub高管Oege de Moor于2024年1月创立,其主要功能是自动化渗透测试,也就是模拟黑客行为以发现系统安全漏洞,进而渗透企业网络。企业通常会雇佣或组建所谓“红队”执行这类任务,以提高系统防护能力。但Oege de Moor指出,红队作业和渗透测试的成本非常高,一次测试平均花费约1.8万美元,并需数周时间完成,因此往往无法频繁开展。他希望通过Xbow,客户可以持续或更频繁地进行这类测试,尤其是在新产品和系统上线前。Oege de Moor表示:“通过自动化,我们可以彻底改变整个局面。”他曾负责微软旗下GitHub的AI代码生成工具Copilot的开发。但挑战也在增加:资金充足的攻击者也在利用AI算法自动化攻击,不仅降低成本,还能提高攻击频率。投资方NFDG的Nat Friedman表示:“Xbow打造出了一套现阶段就能投入使用的系统,这既令人兴奋,也带来一些忧虑,说明我们已经进入‘机器攻击机器’的时代。”Friedman曾担任GitHub首席执行官。
Oege de Moor曾在牛津大学担任计算机科学教授长达20年,他认为未来防御方将凭借Xbow等工具逐步占据优势。他表示:“我们或许会经历一段混乱期,因为不是每个人都准备好应对AI驱动的攻击。”但他补充说:“如今我们首次真正有希望,在系统上线前由防御者找出并修复所有漏洞。”Oege de Moor此前创办了安全代码漏洞检测公司Semmle,该公司于2019年被GitHub收购。而在此之前一年,微软完成了对GitHub的并购,并任命Friedman为首席执行官。他当时希望通过一系列收购引入新产品和富有创业精神的人才。Xbow团队由多位前GitHub资深人士组成,包括曾担任Lyft首席信息安全官、现任Xbow安全主管的Nico Waisman,曾在GitHub和Semmle任职、现任Xbow AI主管的Albert Ziegler。Friedman和Altimeter Capital合伙人Apoorv Agrawal表示,在Oege de Moor创办Xbow之初,他们就开始探索AI在提升网络安全方面的潜力。Agrawal表示:“网络安全正在经历一场公信力危机,告警数量庞大。”他补充说,信息安全负责人真正想要的不是更多告警,而是“更少、更加简洁的告警”。他说:“如何实现这一点?AI能够提供帮助。”
Xbow在编码错误方面表现优异,
逻辑错误方面仍显不足
HackerOne是一个安全协作平台,供希望对其软件进行安全审核的公司发布漏洞悬赏。该平台既有开放项目,也有仅限邀请的私密项目。Xbow在这两类项目中均有活跃参与。当Xbow这样的AI工具发现漏洞后,HackerOne会要求由企业内部进行人工审核,以过滤AI“幻觉”。之后,Xbow会通知相应公司其产品存在潜在漏洞。如果企业确认问题属实,Xbow就能获得声誉积分,漏洞越严重,积分越高。
图:Xbow近期自主发现了上千个安全漏洞Oege de Moor透露,Xbow已经成功发现并报告了多个安全漏洞,涉及十几家知名企业,包括亚马逊、迪士尼、贝宝和索尼集团。他未透露Xbow目前客户的具体名单,仅表示这些客户主要来自大型金融服务和科技行业。尽管Xbow的算法在识别常见编码错误和安全问题方面表现优异,但在理解由产品设计逻辑引发的漏洞时仍显不足。Oege de Moor举例称,在分析医疗类网站时,需要明确告知Xbow“处方信息应当保密”。此外,算法尚无法理解,虽然医生或药剂师访问多名患者的处方是合理的,但如果一名患者能看到其他患者的处方信息,那就构成严重的安全问题。未来,Xbow还计划新增功能,不仅帮助客户识别漏洞,还能提供修复建议和相应的代码示例。Altimeter的Agrawal指出,要实现Xbow的广泛应用,还需要客户改变现有的工作方式。Agrawal表示:“每当出现一种足够先进的技术,其最后一公里的落地应用往往需要改变既有的工作流程。”他说:“这意味着人们需要改变他们多年来,甚至几十年来习惯的操作方式。”
点击下方卡片关注我们,带你一起读懂网络安全 ↓
📍发表于:中国 北京
🔗️ 阅读原文
