HackerOne ведёт престижный рейтинг хакеров, которые нашли в софте крупных компаний больше всего уязвимостей. Оценивается как количество, так и серьёзность багов. Недавно его впервые возглавил не живой человек, а ИИ-инструмент Xbow, разработанный одноименной компанией, пишет Bloomberg.
Стартап был запущен в январе 2024 года выходцем из GitHub Оге де Муром и специализируется на пентестинге (имитации атак для выявления слабых мест в информационных системах). Экс-СЕО GitHub Нэт Фридман отмечает, что «мы вступили в эпоху, когда машины взламывают машины», и это одновременно захватывающе и страшно.
Автоматизация поиска брешей обходится дешевле услуг специалистов, которые делают это вручную, к тому же злоумышленники тоже берут на вооружение ИИ для проведения реальных атак. В последнем инвестраунде Xbow привлёк $75 млн от фондов Altimeter Capital, Sequoia Capital и NFDG.
Продукты Xbow обнаружили уязвимости безопасности в софте известных компаний, например Amazon, Walt Disney, PayPal и Sony. Имена клиентов стартап не называет, но говорит, что это крупные финансовые и технологические компании.
Алгоритм Xbow хорошо справляется с ошибками в коде и проблемами безопасности, однако плохо понимает недочёты в логике продукта. Например, при анализе медицинского сайта ему нужно прописать, что рецепты — это конфиденциальная информация. Также он сам по себе не понимает, например, что у врача должен быть доступ к рецептам разных пациентов, а вот если одному пациенту виден рецепт другого, то это проблема.
В дальнейшем Xbow сможет давать клиентам рекомендации по устранению уязвимостей и предлагать соответствующие исправления в код. В Altimeter отмечают, что для массового распространения подобных инструментов их клиентам придётся пересмотреть налаженные рабочие процессы, которые действовали годы или даже десятилетия.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.
nmap в своем роде ии т.к. сканирование автоматизированное :)
и Xbow какой-то автоматизированный сканер
https://utkusen.substack.com/p/does-xbow-ai-hacker-deserve-the-hype
"Automated application security testing is nothing new. DAST (Dynamic Application Security Testing) tools like Burp Suite and Invicti (Acunetix+Netsparker) have been around for 20 years and are continuously improving." 20 лет автоматизированного сканирования
хааа-ха-хаа-ха rofl
"Given the AI hype, you’d expect XBOW to tackle the hard problems: logic bugs, authentication complexities, or deep contextual understanding. But based on their own blog post, XBOW seems to be solving the problems that are already solved. They highlight vulnerabilities like Remote Code Execution, SQL Injection, XXE, Path Traversal, SSRF, XSS, and so on. These are serious vulnerabilities. But also the bread and butter of conventional DAST tools." xbow решает уже решенные проблемы вместо логических багов, сложностей аутентификации и глубокого контекстного понимания
журналисты такие журналисты. самый цимес
перевод:
"Я хочу подчеркнуть это для всех: XBOW возглавил рейтинг VDP (Программа раскрытия уязвимостей), а не программу Bug Bounty. Это важно. Большинство хороших хакеров не тратят время на VDP. Другими словами, в пространстве VDP гораздо меньше конкуренции.
"Тем не менее, возглавить таблицу лидеров VDP все еще нелегко. Если XBOW удалось найти действительные ошибки в нескольких программах, используя «только свое программное обеспечение», это впечатляет. Но мы не знаем, какая часть из этого была автоматизирована, а какая — с помощью человека.
Они также не поделились отчетами об уязвимостях. Поэтому мы не знаем, являются ли они низковисящими фруктами (прим. легко сорвать) или сложными проблемами."
Пользователь отредактировал комментарий 27 июня 2025, 13:06