一位名叫Xbow的黑客登上了美国安全行业权威排行榜，该排行榜追踪发现并报告大型公司软件漏洞最多的黑客。Xbow并非真人，而是由同名公司开发的一款人工智能工具。

据 HackerOne 联合创始人Michiel Prins称，这是首次有公司的 AI 产品荣登 HackerOne 美国声誉排行榜榜首。该排行榜衡量了已发现漏洞的数量及其重要性。目前，这家成立一年的初创公司已在新一轮融资中筹集了 7500 万美元，由 Altimeter Capital 领投，现有投资者红杉资本和 NFDG 也参与其中。该公司拒绝透露估值。

普林斯表示，安全研究人员和黑客早已将部分工作自动化，而人工智能在过去两年中已成为一种关键工具。如今，几乎所有人类黑客都利用人工智能来增强攻击能力，并且有少数公司正在尝试效仿Xbow——普林斯称之为“黑客机器人公司”。

Xbow 由 GitHub 资深人士 Oege de Moor 于 2024 年 1 月创立，旨在实现渗透测试自动化。在渗透测试中，黑客会尝试查找安全漏洞并入侵企业网络。企业通常会雇佣或聘用专门人员（称为“红队”）来执行此类测试，以改进和保护其网络和软件。但红队测试和渗透测试成本高昂——de Moor 表示，单个系统上的测试平均需要 18,000 美元，并且需要数周时间——因此，这类测试通常开展得不够频繁。De Moor 希望通过销售他的产品，让客户能够持续或至少更频繁地进行此类测试，并在新产品和系统上线之前进行。

“通过自动化，我们可以彻底改变现状，”曾负责微软公司旗下 GitHub 的 AI 代码生成 Copilot 的 de Moor 说道。

挑战在于，资金雄厚的黑客也在利用人工智能算法自动化攻击，并以更低的成本提高攻击频率。NFDG 的 Nat Friedman（曾任 GitHub 首席执行官）表示，Xbow“拥有一些目前行之有效的技术，这令人兴奋，但也令人担忧，因为我们正处于机器攻击机器的时代”。

德·摩尔曾在牛津大学担任计算机科学教授二十年，他预计，最终力量平衡将有利于使用 Xbow 等工具的防御者。“可能会出现一段混乱时期，并非所有人都能为这些人工智能攻击做好准备，”他说道。现在，“我们第一次可以寄希望于防御者能够在系统崩溃之前发现并修复所有漏洞。”

德·摩尔创立了Semmle，这是一家寻找代码安全漏洞的初创公司，于 2019 年被 GitHub 收购。微软在前一年收购了 GitHub，并任命弗里德曼为首席执行官。他希望通过一系列收购来增加新产品和创业人才。

弗里德曼和Altimeter Capital合伙人阿普尔夫·阿格拉瓦尔(Apoorv Agrawal)表示，当德·莫尔创办Xbow时，他们正在探索人工智能如何提升网络安全。“网络安全正面临信誉危机。警报太多了，”阿格拉瓦尔说道。首席信息安全官“想要的是更少，而不是更多，他们想要的是简单和更少的警报，”他补充道。“如何做到这一点？人工智能可以提供帮助。”

HackerOne 提供了一个安全平台，希望软件得到审查的公司可以在此平台上为发现漏洞的人提供赏金。这些项目有开放的，也有仅限邀请的。Xbow 在这两个平台上都活跃。当像 Xbow 这样的人工智能发现漏洞时，HackerOne 会要求公司内部的一名人员对其进行审查，以过滤掉人工智能的幻觉。然后，Xbow 会联系产品中存在所谓漏洞的公司。如果确认了问题的存在，Xbow 就会获得声誉点数——问题越严重，黑客获得的点数就越多。

据德莫尔称，作为这项工作的一部分，Xbow 产品成功发现并向十多家知名公司报告了安全漏洞。这些公司包括亚马逊公司、华特迪士尼公司、PayPal 控股公司和索尼集团。德莫尔拒绝透露 Xbow 目前的客户名单，只是表示这些客户都是大型金融服务和科技公司。

Xbow 的团队包括 GitHub 资深人士，例如曾担任 Lyft Inc. 首席信息安全官、现任 Xbow 安全主管的 Nico Waisman，以及曾在 GitHub 和 Semmle 工作的 Xbow 人工智能主管 Albert Ziegler。

Xbow 的算法虽然在发现常见编码错误和安全问题等方面表现良好，但在识别产品设计逻辑缺陷方面却表现不佳。例如，de Moor 表示，在访问医疗网站时，需要明确告知 Xbow 算法处方应保密。而且，Xbow 算法无法理解，虽然医生或药剂师需要访问多个患者的处方，但如果一个患者可以看到另一个患者的药物，就会存在安全问题。

未来，Xbow 还希望增加告诉客户如何纠正安全漏洞以及为这些修复提供编码建议的功能。Altimeter 公司的阿格拉瓦尔 (Agrawal) 表示，要想广泛采用，还需要让客户改变他们的工作方式。

“每当有足够先进的技术出现时，‘最后一英里’的采用就需要改变工作流程，”阿格拉瓦尔说。“这需要改变人们多年来甚至几十年来的行为。”

表情 点击这里取消回复。