全国顶尖黑客之一竟是一个AI机器人——彭博社

Xbow创始人Oege de Moor

来源：Xbow

一位名为Xbow的黑客登顶了美国权威安全行业排行榜，该榜单追踪发现并报告大型企业软件漏洞最多的人员。Xbow并非真人——它是由同名公司开发的人工智能工具。

据HackerOne联合创始人Michiel Prins透露，这是首次有公司的人工智能产品凭借漏洞发现数量及严重性评分，在HackerOne美国声誉榜上夺冠。这家成立一年的初创公司刚完成由Altimeter Capital领投的7500万美元融资，红杉资本等现有投资方跟投，但未对外披露估值。

Prins表示，安全研究人员和黑客早已实现部分工作自动化，而AI在过去两年崭露头角成为关键工具。如今几乎所有人类黑客都借助AI提升效率，还有少数企业正尝试复制Xbow的模式——Prins称它们为"黑客机器人公司"。

Xbow由GitHub资深员工Oege de Moor于2024年1月创立，致力于自动化渗透测试——即黑客试图发现安全漏洞并入侵企业网络的过程。企业通常会雇佣或组建专业团队（称为红队）进行此类测试，以加强和保护其网络及软件安全。但de Moor表示，红队演练和渗透测试成本高昂——单个系统的测试平均需花费1.8万美元和数周时间——因此往往无法频繁开展。De Moor希望通过销售其产品，使客户能够持续或更频繁地进行测试，尤其在新产品和系统上线前完成安全检测。

“通过自动化，我们可以彻底改变这个等式，“曾负责微软旗下GitHub的AI代码生成工具Copilot的de Moor说道。

挑战在于资金充足的黑客同样利用AI算法自动化攻击，以更低成本提高攻击频率。NFDG的Nat Friedman（前GitHub首席执行官）表示：“Xbow拥有当前可运行的创新技术，这既令人兴奋又略带恐惧，因为我们已进入机器攻击机器的时代。”

曾在牛津大学担任计算机科学教授二十年的de Moor预测，随着Xbow等工具的普及，攻防力量终将向防御方倾斜。“可能会经历一段混乱期，并非所有人都能应对这些AI驱动的攻击，“他表示。如今，“我们首次有望实现防御方在系统上线前发现并修复所有漏洞。”

德穆尔创立了Semmle，这家专注于代码安全漏洞检测的初创公司于2019年被GitHub收购。微软在前一年收购了GitHub，并任命弗里德曼为CEO。他希望通过一系列收购来增加新产品和创业人才。

弗里德曼与Altimeter Capital合伙人阿普尔·阿格拉瓦尔表示，当德穆尔启动Xbow时，他们正在研究如何提升网络安全的人工智能应用。“网络安全正面临信任危机，警报数量泛滥，“阿格拉瓦尔说。他补充道：“首席信息安全官们需要的是简化而非增加，他们追求更少的警报。如何实现这一点？人工智能可以提供帮助。”

HackerOne提供安全平台，允许企业通过悬赏计划邀请外部人员检测软件漏洞。这些计划包括公开项目和仅限邀请项目，Xbow同时参与两类项目。当Xbow这类AI发现漏洞时，HackerOne要求企业人工审核以排除AI幻觉。随后Xbow会联系存在潜在漏洞产品的公司，经确认后获得信誉积分——漏洞越严重，黑客获得的积分越高。

据德穆尔透露，Xbow产品已成功发现并报告安全漏洞给包括亚马逊、华特迪士尼、PayPal和索尼集团等十余家知名企业。德穆尔未透露当前客户名单，仅表示均为大型金融服务和科技公司。

Xbow的团队包括GitHub资深人士，如曾在Lyft Inc.担任首席信息安全官、现任Xbow安全主管的Nico Waisman，以及曾在GitHub和Semmle工作、现任Xbow人工智能负责人的Albert Ziegler。

虽然Xbow的算法在发现常见编码错误和安全问题方面表现优异，但在识别由产品设计逻辑导致的缺陷时表现欠佳。例如，de Moor表示，在检查医疗网站时，必须明确告知系统处方信息应保密。它无法理解虽然医生或药剂师需要能访问多名患者的处方，但若一名患者能看到他人药物信息则属于安全问题。

未来，Xbow还希望增加向客户提供安全漏洞修复方案的功能，并为这些修复措施提供编码建议。

Altimeter的Agrawal指出，大规模应用还需要客户改变工作方式。

“每当出现足够先进的技术时，最后一公里的应用都需要改变工作流程，“Agrawal说，“这需要改变人们多年来——有时是几十年来——的行为习惯。”