For første gang nogensinde har en kunstig intelligens indtaget førstepladsen på en af verdens mest prestigefyldte ranglister for etisk hacking.
Bag den usædvanlige topplacering står den amerikanske startup Xbow og en AI med samme navn.
Xbows algoritme har fundet og rapporteret så mange vigtige sårbarheder i software, at den nu topper HackerOnes amerikanske leaderboard, som måler både kvantitet og kvalitet af fundne sikkerhedsfejl.
Det bekræfter HackerOne-medstifter Michiel Prins over for Bloomberg.
Og nu har selskabet rejst hele 75 millioner dollar, svarende til mere end 480 millioner kroner, i ny finansiering.
Et hackbot-gennembrud
Xbow blev stiftet i januar 2024 af Oege de Moor, som er tidligere udviklingschef for GitHub Copilot og mangeårig professor i datalogi ved Oxford University.
Han kalder produktet for en automatiseret penetrationstester, altså et AI-værktøj, der efterligner menneskelige hackere og finder sårbarheder i it-systemer, før de udnyttes af ondsindede aktører.
”Ved at automatisere penetrationstests kan vi fuldstændig ændre ligningen,” siger de Moor til Bloomberg.
I dag koster en klassisk pentest ofte op mod 18.000 dollar og kræver uger at gennemføre, hvilket begrænser hyppigheden af test. Selskabets ambition er dog at gøre det løbende og skalerbart.
Xbow fungerer både i åbne og lukkede sikkerhedsprogrammer på HackerOne-platformen.
Her skal alle AI-fund vurderes af mennesker, før de rapporteres til virksomhederne for at undgå fejl og hallucinationer. Hvis sårbarheden bekræftes, får Xbow points, især hvis der er tale om alvorlige fejl.
Ifølge Oege de Moor har Xbows AI fundet og rapporteret sikkerhedshuller i software fra en række kendte selskaber, herunder Amazon, PayPal, Disney og Sony.
De nuværende kunder er dog fortrolige, men beskrives som store virksomheder inden for finans og teknologi.
Maskiner hacker maskiner
Selvom AI længe har været brugt som støtteværktøj blandt etiske hackere, så markerer Xbow et teknologisk spring, hvor algoritmen overtager hele testarbejdet.
Og den samme udvikling sker på cyberkriminelles side.
”Det er både spændende og en smule skræmmende. Vi er nu i en æra, hvor maskiner hacker maskiner,” siger NFDG-partner og tidligere GitHub-CEO Nat Friedman til Bloomberg.
Ifølge Altimeter-partner Apoorv Agrawal står cybersikkerhed over for en troværdighedskrise, hvor CISO’er drukner i alarmer og ønsker færre, men mere præcise beskeder.
Og ifølge ham, så kan AI være løsningen. Det kræver dog forandringer i måden, virksomheder arbejder på.
”Når teknologien er tilstrækkeligt avanceret, kræver det en ændring i arbejdsgange og adfærd, som ofte har siddet fast i årevis,” siger Apoorv Agrawal ifølge mediet.
Fremtid med AI-assisterede forsvarere
Xbow er ikke fejlfrit. AI’en har svært ved at identificere brud på forretningslogik og forstå domænespecifik sikkerhed, for eksempel at medicinoplysninger skal være private, men samtidig tilgængelige for læger.
Derfor arbejder Xbow nu på at udvide produktet med forslag til, hvordan fundne fejl kan rettes og patches.
Selskabets stifter, Oege de Moor, tror dog på, at AI vil tippe balancen til fordel for de lovlydige brugere.
”For første gang har vi grund til at tro, at man kan finde og fikse alle sårbarheder i et system, inden det går i produktion,” siger han.
”Der kan være en overgangsperiode, hvor ikke alle er klar på de AI-drevne angreb, der venter,” lyder det videre.
