近日,AI安全公司XBOW宣佈,其自主研發的AI工具“XBOW”在全球知名漏洞衆測平臺HackerOne上力壓羣雄,成爲美國排行榜第一名。這是AI工具首次超越人類安全研究員,登頂HackerOne漏洞披露排行榜,標誌着AI在漏洞檢測領域的里程碑式突破。

image.png

XBOW AI:全自動滲透測試的先鋒

XBOW的AI工具是一款完全自主的滲透測試(pentest)系統,無需人工干預即可模擬人類安全研究員的操作,發現並利用軟件漏洞。據悉,該工具能夠在數小時內完成全面的滲透測試,覆蓋包括遠程代碼執行(RCE)、SQL注入、跨站腳本(XSS)、服務器端請求僞造(SSRF)、信息泄露等在內的多種漏洞類型。截至目前,XBOW已在HackerOne平臺上提交了近1060個漏洞,其中132個已被官方確認並修復,涉及迪士尼、AT&T、福特、Epic Games等知名企業。

其獨特之處在於,XBOW通過機器學習技術對真實漏洞數據進行訓練,能夠精準識別複雜的安全漏洞,同時配備自動化驗證機制,確保提交的漏洞報告準確無誤。這種“黑盒測試”模式無需依賴內部代碼訪問,模擬真實攻擊場景,展現了AI在網絡安全領域的強大潛力。

image.png

HackerOne排行榜首:AI超越人類的里程碑

HackerOne是一個連接企業與道德黑客的平臺,通過漏洞賞金計劃激勵安全研究員發現並報告系統漏洞。XBOW的AI工具在2025年第二季度(4月至6月)成功登頂HackerOne美國排行榜,以提交漏洞數量、賞金總額、報告質量及漏洞影響力的綜合評分,力壓99名人類研究員,位列漏洞披露計劃(VDP)類別第一,同時在全球排行榜中名列第六。

值得注意的是,XBOW的成功並非僅靠“量”取勝。其發現的漏洞包括對Palo Alto GlobalProtect VPN的未知漏洞,影響超過2000個主機,凸顯了其在挖掘高危漏洞方面的能力。此外,XBOW通過嚴格的內部驗證流程,顯著降低了傳統AI工具常見的誤報問題,確保了報告的高質量。

技術突破:從低掛果實到複雜漏洞的跨越

XBOW的開發團隊表示,該工具經過了多輪嚴苛的基準測試,包括PortSwigger和Pentesterlab的“奪旗”挑戰,以及模擬真實場景的自建測試環境。團隊還通過白盒測試和開源項目中的零日漏洞挖掘,進一步優化了AI的漏洞檢測能力。

儘管目前XBOW主要擅長髮現已知模式的漏洞,如SQL注入和XSS等,但其自主探索和迭代學習能力已引起行業關注。專家指出,未來隨着AI技術的進步,類似XBOW的工具可能進一步突破,具備發現複雜業務邏輯漏洞或鏈式攻擊的能力,從而在網絡安全攻防戰中扮演更關鍵的角色。

行業影響:AI賦能防禦者的新希望

XBOW的成功不僅爲網絡安全行業帶來了技術革新,也引發了關於AI角色的新討論。HackerOne聯合創始人Michiel Prins表示:“像XBOW這樣的AI工具爲安全領域帶來了驚豔的創新,加速了漏洞的發現與響應。”而XBOW首席執行官Oege de Moor則認爲,AI驅動的防禦工具將幫助企業在系統上線前發現並修復所有漏洞,逐步扭轉攻防天平向防禦者傾斜。

與此同時,業內也存在一定擔憂。部分專家指出,AI工具在快速發現“低掛果實”漏洞方面表現優異,但其在創造性思維和複雜攻擊場景中的能力仍有待驗證。此外,AI自動化測試可能導致漏洞報告數量激增,給企業修復工作帶來壓力。

資本助力:XBOW獲7500萬美元融資加速擴張

就在XBOW登頂HackerOne排行榜的同時,公司宣佈完成7500萬美元的B輪融資,總融資額達到1.17億美元。本輪融資由Altimeter領投,紅杉資本等現有投資者跟投。資金將用於進一步擴展XBOW的AI驅動安全平臺,加速其在全球市場的佈局。

AI與網絡安全的未來交匯

XBOW的崛起標誌着AI在網絡安全領域的巨大潛力,其全自動滲透測試工具不僅提升了漏洞發現的效率和規模,也爲企業提供了更強大的防禦手段。AIbase認爲,XBOW的成功不僅是技術的勝利,更預示着AI與人類協作的新模式正在重塑網絡安全格局。然而,如何平衡AI的自動化優勢與人類研究員的創造性洞察,仍是行業未來需要探索的關鍵課題。

隨着XBOW即將在2025年8月的Black Hat Briefings安全會議上分享更多技術細節,全球安全社區對這一工具的期待進一步升溫。