AI-пентестер от XBOW лидирует в рейтинге HackerOne и привлекает $75 млн инвестиций для развития платформы.

Мы живем в новом мире, где теперь именно ИИ-управляемый тестировщик на проникновение занимает первое место в престижном рейтинге лидеров в области безопасности США, оценивающем команды "красных" (red teamers) по репутации. CSO Online сообщает:

На платформе HackerOne, соединяющей организации с этичными хакерами для участия в программах bug bounty, "Xbow" показал значительно более высокие результаты, чем 99 других хакеров в выявлении и сообщении об уязвимостях в корпоративном программном обеспечении. Это первый случай в истории программ bug bounty, по словам компании, разработавшей данного бота.

Xbow – это полностью автономный, управляемый искусственным интеллектом тестировщик на проникновение (pentester), не требующий вмешательства человека, но, по словам его создателей, работающий аналогично человеческому пентестеру, способному быстро масштабироваться и проводить комплексные тесты на проникновение всего за несколько часов. Согласно информации на его веб-сайте, он проходит 75% веб-бенчмарков безопасности, точно обнаруживая и эксплуатируя уязвимости.

Xbow отправил на HackerOne около 1060 сообщений об уязвимостях, включая удаленное выполнение кода, раскрытие информации, отравление кэша, SQL-инъекции, внешние XML-сущности, обход пути, подделку запросов на стороне сервера (SSRF), межсайтовый скриптинг и раскрытие секретов. Компания также сообщила, что выявила ранее неизвестную уязвимость в платформе VPN GlobalProtect от Palo Alto, затронувшую более 2000 хостов. Из уязвимостей, отправленных Xbow за последние 90 дней, 54 были классифицированы как критические, 242 – как высокие и 524 – как средние по степени серьезности. Программы bug bounty компании устранили 130 уязвимостей, а 303 классифицированы как находящиеся в стадии рассмотрения.

Примечательно, что около 45% обнаруженных уязвимостей все еще ожидают устранения, что подчеркивает "объем и влияние представленных данных на реальные цели", – написал Нико Вайсман (Nico Waisman), глава службы безопасности Xbow, в своем блоге на этой неделе. Для дальнейшего совершенствования технологии компания разработала "валидаторы" – автоматизированные системы взаимного контроля, которые подтверждают каждую обнаруженную уязвимость.

"По мере того, как злоумышленники внедряют ИИ для автоматизации и ускорения эксплуатации, защитники должны встретить их еще более мощными системами", – заявил генеральный директор XBOW на этой неделе, объявив о привлечении 75 миллионов долларов в рамках раунда финансирования серии B, что привело общий объем финансирования до 117 миллионов долларов. Help Net Security сообщает:

Благодаря новому финансированию, XBOW планирует расширить свою инженерную команду и расширить усилия по выводу продукта на рынок. Продукт теперь общедоступен, и компания заявляет, что сотрудничает с крупными банками, технологическими фирмами и другими организациями, которые помогли сформировать платформу на этапе ее раннего тестирования. Долгосрочная цель XBOW – помочь командам безопасности опережать злоумышленников, используя передовую автоматизацию. По мере того, как злоумышленники все чаще обращаются к ИИ, компания утверждает, что защитникам потребуются столь же мощные системы, чтобы соответствовать их скорости и изощренности.