HackerOne вядзе прэстыжны рэйтынг хакераў, якія знайшлі ў праграмным забеспячэнні буйных кампаній найбольш уразлівасцяў. Ацэньваецца як колькасць, так і сур’ёзнасць багаў. Нядаўна яго ўпершыню узначаліў не жывы чалавек, а ШІ-інструмент Xbow, распрацаваны аднайменнай кампаніяй, піша Bloomberg.
Стартап быў запушчаны ў студзені 2024 года выхадцам з GitHub Аге дэ Мурам і спецыялізуецца на пентэсцінгу (імітацыі атак для выяўлення слабых месцаў у інфармацыйных сістэмах). Экс-СЕО GitHub Нэт Фрыдман адзначае, што «мы ўступілі ў эпоху, калі машыны ўзломваюць машыны», і гэта адначасова захапляльна і страшна.
Аўтаматызацыя пошуку прабоін абыходзіцца танней за паслугі спецыялістаў, якія робяць гэта ўручную, да таго ж злачынцы таксама бяруць на ўзбраенне ШІ для правядзення рэальных атак. У апошнім інвестраўндзе Xbow прыцягнуў $75 млн ад фондаў Altimeter Capital, Sequoia Capital і NFDG.
Прадукты Xbow выявілі ўразлівасці бяспекі ў праграмным забеспячэнні вядомых кампаній, напрыклад Amazon, Walt Disney, PayPal і Sony. Імёны кліентаў стартап не называе, але кажа, што гэта буйныя фінансавыя і тэхналагічныя кампаніі.
Алгарытм Xbow добра спраўляецца з памылкамі ў кодзе і праблемамі бяспекі, аднак дрэнна разумее недахопы ў логіцы прадукту. Напрыклад, пры аналізе медыцынскага сайта яму трэба прапісаць, што рэцэпты — гэта канфідэнцыйная інфармацыя. Таксама ён сам па сабе не разумее, напрыклад, што ў доктара павінен быць доступ да рэцэптаў розных пацыентаў, а вось калі аднаму пацыенту відаць рэцэпт іншага, то гэта праблема.
У далейшым Xbow зможа даваць кліентам рэкамендацыі па ліквідацыі ўразлівасцяў і прапаноўваць адпаведныя выпраўленні ў код. У Altimeter адзначаюць, што для масавага распаўсюджвання падобных інструментаў іх кліентам давядзецца перагледзець наладжаныя працоўныя працэсы, якія дзейнічалі гады або нават дзесяцігоддзі.
Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.
nmap в своем роде ии т.к. сканирование автоматизированное :)
и Xbow какой-то автоматизированный сканер
https://utkusen.substack.com/p/does-xbow-ai-hacker-deserve-the-hype
"Automated application security testing is nothing new. DAST (Dynamic Application Security Testing) tools like Burp Suite and Invicti (Acunetix+Netsparker) have been around for 20 years and are continuously improving." 20 лет автоматизированного сканирования
хааа-ха-хаа-ха rofl
"Given the AI hype, you’d expect XBOW to tackle the hard problems: logic bugs, authentication complexities, or deep contextual understanding. But based on their own blog post, XBOW seems to be solving the problems that are already solved. They highlight vulnerabilities like Remote Code Execution, SQL Injection, XXE, Path Traversal, SSRF, XSS, and so on. These are serious vulnerabilities. But also the bread and butter of conventional DAST tools." xbow решает уже решенные проблемы вместо логических багов, сложностей аутентификации и глубокого контекстного понимания
журналисты такие журналисты. самый цимес
перевод:
"Я хочу подчеркнуть это для всех: XBOW возглавил рейтинг VDP (Программа раскрытия уязвимостей), а не программу Bug Bounty. Это важно. Большинство хороших хакеров не тратят время на VDP. Другими словами, в пространстве VDP гораздо меньше конкуренции.
"Тем не менее, возглавить таблицу лидеров VDP все еще нелегко. Если XBOW удалось найти действительные ошибки в нескольких программах, используя «только свое программное обеспечение», это впечатляет. Но мы не знаем, какая часть из этого была автоматизирована, а какая — с помощью человека.
Они также не поделились отчетами об уязвимостях. Поэтому мы не знаем, являются ли они низковисящими фруктами (прим. легко сорвать) или сложными проблемами."
Карыстальнік адрэдагаваў каментарый 27 чэрвеня 2025, 13:06