我们现在生活在一个全新的世界——一个由人工智能驱动的渗透测试工具“如今荣登美国安全行业权威排行榜,该排行榜根据声誉对红队成员进行排名”。CSO Online 报道:在 HackerOne(一个将组织与道德黑客联系起来,让他们参与其漏洞赏金计划的项目)上,“Xbow”在识别和报告企业软件漏洞方面的得分显著高于其他 99 名黑客。据运营同名机器人的公司称,这在漏洞赏金计划历史上尚属首次……Xbow 是一款完全自主的人工智能驱动渗透测试工具(pentester),无需人工输入,但其创建者表示,“操作方式与人类渗透测试员非常相似”,可以快速扩展并在短短几个小时内完成全面的渗透测试。据其网站称,它通过了 75% 的网络安全基准测试,能够准确地发现和利用漏洞。 Xbow 向 HackerOne 提交了近 1,060 个漏洞,包括远程代码执行、信息泄露、缓存中毒、SQL 注入、XML 外部实体、路径遍历、服务器端请求伪造 (SSRF)、跨站点脚本和机密泄露。该公司表示,还在 Palo Alto 的 GlobalProtect VPN 平台中发现了一个此前未知的漏洞,该漏洞影响了超过 2,000 台主机。在过去 90 天内,Xbow 提交的漏洞中,54 个被归类为严重级别,242 个被归类为高危漏洞,524 个被归类为中等危漏洞。该公司的漏洞赏金计划已解决 130 个漏洞,303 个被归类为已分类漏洞。然而,值得注意的是,Xbow 安全主管 Nico Waisman 本周在一篇博客文章中写道,该公司发现的漏洞中约有 45% 仍在等待解决,这凸显了“提交漏洞的数量及其对实际目标的影响”。为了进一步完善这项技术,该公司开发了“验证器”,即自动化的同行评审程序,用于确认每个发现的漏洞,Waisman 解释道。“随着攻击者采用人工智能来自动化和加速漏洞利用,防御者必须使用更强大的系统来应对他们,”XBOW 首席执行官本周表示。该公司在 B 轮融资中筹集了 7500 万美元,用于发展其平台,使其总融资额达到 1.17 亿美元。Help Net Security 报道:借助这笔新资金,XBOW 计划扩大其工程团队并加大市场推广力度。该产品现已全面上市,该公司表示正在与大型银行、科技公司和其他在早期测试阶段帮助塑造该平台的组织合作。XBOW 的长期目标是帮助安全团队利用先进的自动化技术保持领先于对手。随着攻击者越来越多地转向人工智能,该公司认为防御者将需要同样强大的系统来匹配他们的速度和复杂程度。
在 Slashdot 上阅读更多内容。