Рейтинг платформы HackerOne возглавил бот на базе искусственного интеллекта Xbow, сообщив о рекордном количестве уязвимостей в программном обеспечении крупных компаний. За разработкой ИИ-бота стоит одноимённая компания, которую возглавляет выходец из GitHub.
Соучредитель HackerOne Микиэль Принс заявил, что это первый случай, когда продукт компании в сфере ИИ возглавил рейтинг HackerOne в США по репутации. Рейтинг платформы измеряет количество обнаруженных уязвимостей и важность каждой из них.
В рамках последнего раунда финансирования компания Xbow привлекла $75 млн от Altimeter Capital, Sequoia Capital и NFDG.
Исследователи безопасности и хакеры давно автоматизировали часть своей работы, а ИИ выступил как ключевой инструмент для этого за последние два года, продолжает Принс. По его словам, почти все хакеры-люди дополняют свои усилия ИИ, а есть несколько компаний, которые делают то же, что реализовала Xbow. Принс называет их компаниями-хакботами.
Xbow основал бывший вице-президент GitHub Next Оге де Мур в январе 2024 года. Его компания автоматизирует проведение тестов на проникновение — процессов проверки уязвимости компьютерных систем, сетей и приложений. Обычно компании имеют для таких задач специалистов, которые входят в так называемые красные команды. Подобным образом компании обеспечивают защиту своих сетей и ПО.
Де Мур указывает на высокую стоимость таких тестов: в среднем на одну систему уходят около $18 тыс. и несколько недель работы. По этим причинам подобные тесты проводят не часто. Xbow же намерена продавать свой продукт, чтобы клиенты могли выполнять тесты на проникновение регулярно или хотя бы чаще накануне ввода новых продуктов и систем в эксплуатацию.
Будучи профессором информатики, де Мур 20 лет преподавал в Оксфордском университете. Он также курировал проект ИИ-ассистента GitHub Copilot.
Де Мур основал стартап по поиску уязвимостей в коде Semmle — компанию приобрела GitHub в 2019 году. Microsoft купила GitHub годом ранее.
На HackerOne желающие проверить своё ПО могут предлагать вознаграждения за обнаружение багов. Xbow участвует как в открытых программах, так и в программах по приглашениям. Когда Xbow находит уязвимость, HackerOne запрашивает проверку человеком, чтобы отфильтровать галлюцинации ИИ. Затем Xbow обращается к компании, чей продукт содержит уязвимость. Если последняя подтверждает наличие проблемы, то Xbow получает очки репутации. Чем серьёзнее проблема, тем больше очков зарабатывает хакер.
За время работы ИИ-бот обнаружил и сообщил о проблемах безопасности в системах более чем десяти известных компаний, включая Amazon, Disney, PayPal и Sony. Де Мур отказался назвать текущих клиентов Xbow, но отметил, что это крупные финансовые и технологические компании.
В команду Xbow входят ветераны GitHub, такие как Нико Вайсман и Альберт Циглер. Первый занимал должность директор по информационной безопасности Lyft, а сейчас пребывает в должности главы отдела безопасности Xbow. Циглер руководит отделом ИИ Xbow, а ранее он работал в GitHub и Semmle.
