Искусственный интеллект опередил хакеровНа вершине американского рейтинга платформы HackerOne — неожиданно не человек, а бот Xbow, созданный одноимённым стартапом всего год назад. Это первый случай в истории, когда ИИ-инструмент занимает первое место в списке лучших баг-хантеров США по совокупной «репутации»: количеству и значимости найденных уязвимостей.Компания Xbow уже привлекла $75 млн инвестиций, в числе которых — Altimeter Capital, Sequoia и NFDG. Стартап основан бывшим профессором Оксфорда и разработчиком GitHub Copilot Оэге де Муром, который ранее продал свой стартап Semmle самой GitHub. Продукт автоматизирует penetration testing — имитацию атак на системы компаний, обычно выполняемую вручную специалистами «красных команд». Такие тесты, имитирующие атаку реальных хакеров, стоят в среднем $18 000 за один прогон и требуют недель работы. Цель Xbow — сделать такие проверки частыми, а в идеале — непрерывными. Xbow участвует в bug bounty-программах HackerOne. После того как бот находит уязвимость, результат в обязательном порядке проверяется человеком, чтобы исключить «галлюцинации». Если баг подтверждается, Xbow получает баллы и поднимается в рейтинге. В числе компаний, чьи уязвимости Xbow уже выявил — Amazon, Disney, PayPal, Sony. Клиентская база не раскрывается, но известно, что среди них есть крупные игроки из финтеха и ИТ.ИИ уже изменил правила игры в кибербезопасности, причем, с обеих сторон. Как отмечает инвестор и экс-глава GitHub Нат Фридман, мы уже вступили в эпоху, когда машины взламывают машины. Технологии, которые повышают эффективность защиты, с таким же успехом применяются в атаках: алгоритмы позволяют хакерам автоматизировать взлом и проводить атаки чаще и дешевле.На этом фоне Xbow выглядит как ответ хакерам, но далеко не универсальный. Система хорошо справляется с выявлением типовых ошибок в коде, но пока не способна понимать, что именно делает компания и какие действия могут привести к утечке. Например, в случае с medtech-компаниями она не отличает законный доступ врача к рецептам пациентов от ошибки, позволяющей пользователю увидеть чужие назначения. Без такой настройки она просто не распознаёт проблему как уязвимость.В планах разработчиков — расширить функциональность: обучить ИИ учитывать специфику отраслей и предлагать конкретные способы устранения найденных багов. Но, как отмечают инвесторы Xbow, масштабное внедрение подобных систем потребует не только технологий, но и перестройки рабочих процессов — от повышения доверия к ИИ до бизнес-процессов реагирования на уязвимости, обнаруженные ботами.
