KI工具Xbow首次在黑客排名中超越人类——彭博社

首次有一个名为Xbow的人工智能系统登顶了HackerOne的著名美国排行榜——该平台评估了哪位黑客发现并报告了企业软件中最重要和最多的安全漏洞。

同名初创公司——开发了Xbow并仅成立一年——在一轮融资中筹集了7500万美元（约合6500万欧元）。本轮融资由Altimeter Capital领投，现有投资者红杉资本和NFDG参与。估值未公开。

安全研究人员和黑客多年来已经自动化了部分工作。HackerOne联合创始人Michiel Prins表示，过去两年中，人工智能已成为核心工具。几乎所有人类黑客现在都在使用人工智能工具。少数专业公司——Prins称之为黑客机器人公司——正在开发像Xbow这样的全自动化系统。

Xbow由前GitHub经理Oege de Moor于2024年1月创立。该人工智能工具自动化了所谓的渗透测试，黑客通过这些测试尝试发现安全漏洞并入侵企业网络。企业通常会雇佣员工——所谓的红队——来改进和保护其网络和软件。但红队和渗透测试成本高昂。据de Moor称，平均每次测试花费1.8万美元，通常需要数周时间——仅针对一个系统。因此，这些测试往往不够频繁。

通过Xbow，客户可以在新产品和系统投入使用前更频繁或持续地执行这一流程。

Xbow创始人Oege de Moor来源：Xbow"通过自动化，我们可以彻底扭转局面，“de Moor说道，他此前在微软子公司GitHub负责AI编程工具Copilot。

挑战在于财力雄厚的黑客同样利用AI算法自动化攻击，以更低成本提高攻击频率。NFDG的Nat Friedman（前GitHub CEO）表示，Xbow拥有当前有效且令人兴奋的技术，但这也令人担忧，“因为我们正进入机器攻击机器的时代”。

de Moor（曾任牛津大学计算机科学教授二十年）认为，力量对比终将向使用Xbow等工具的防御方倾斜。“可能会经历一段混乱期，不是所有人都能应对这些AI驱动的攻击，“他说。现在首次出现希望，防御者能在系统崩溃前发现并修复所有漏洞。

de Moor创立了初创公司Semmle，该公司用于检测代码中的安全漏洞，2019年被GitHub收购。微软于前一年收购GitHub并任命Friedman为CEO，旨在通过一系列收购获得新产品和创业人才。

弗里德曼和阿普尔·阿格拉瓦尔——投资公司Altimeter Capital的合伙人解释说，当Moor开始使用Xbow时，他们本应寻找通过人工智能改善网络安全的方法。“网络安全正陷入可信度危机。有大量的警报信息，”阿格拉瓦尔说。IT安全负责人想要的不是更多，而是更少。“他们想要简单和更少的警报，”他补充道。“如何实现这一点？人工智能可以提供帮助。”

HackerOne提供了一个安全平台，希望审查其软件的公司可以悬赏发现漏洞。有开放项目和仅限邀请的项目。Xbow在这两个领域都很活跃。如果像Xbow这样的人工智能发现了一个漏洞，公司的一名员工必须对其进行验证，以过滤掉人工智能的幻觉。然后，Xbow会联系其产品包含疑似漏洞的公司。如果漏洞得到确认，Xbow将获得声誉积分——问题越严重，黑客获得的积分越多。

根据de Moor的说法，Xbow的产品在这项工作中成功地发现并报告了十几家知名公司的安全漏洞。其中包括Amazon.com、华特迪士尼、PayPal和索尼。de Moor不愿透露Xbow当前客户的名字——只表示这些客户是大型金融服务和科技公司。

Xbow团队中包括GitHub资深人士如Nico Waisman——他曾担任Lyft首席信息安全官，现为Xbow安全主管——以及Xbow人工智能负责人Albert Ziegler，他此前在GitHub和Semmle工作过。

Xbow的算法虽然擅长发现常见的编程错误和安全问题，但在识别由产品设计逻辑导致的缺陷时存在困难。例如，de Moor表示，在检查医疗网站时，必须明确指出处方应被保密处理。而且它无法理解，虽然医生或药剂师需要访问多位患者的处方，但如果一个患者能查看其他患者的药物信息，则构成安全隐患。

未来，Xbow还计划增加向客户通报如何修复安全漏洞的功能，并为这些修复提供编码建议。

Altimeter的Agrawal表示，全面推广还需要客户改变工作方式。

“每当有足够先进的技术出现，在最后一步的推广都需要改变工作流程，“Agrawal说。“这需要改变人们多年来，有时甚至是几十年来形成的行为习惯。”

文章原标题：全国最优秀的黑客之一是一个AI机器人