创造AI安全领域的Alpha Go时刻，Xbow获得7500万美元B轮融资

安全领域的Alpha Go时刻来了，在领先的协同漏洞披露平台HackerOne 上，一个AI工具成为全美第一“黑客”，其表现超越了所有人类参赛者。

这个AI工具是XBOW，它刚完成7500万美元的B轮融资，由Altimeter领投，此前的投资方Sequoia Capital和Nat Friedman再度参投，此轮融资后，XBOW的总融资金额已达到1.17亿美元。

在2024年7月，XBOW获得了2000万美元种子轮融资，由Sequoia Capital领投，Amjad Masad（Replit创始人）、Michele Catasta（Replit的AI副总裁）、Olivier Pomel（Datadog创始人）等天使投资人参投。

GitHub Copilot的缔造者，拉着顶尖安全专家用AI发现安全漏洞

XBOW由Oege de Moor于2024年创立，Oege de Moor此前是牛津大学教授，主要研究开发者工具；随后创立了Semmle（现为GitHub Advanced Security），致力于帮助工程师在源代码中发现安全漏洞；之后又创立了 GitHub Copilot，这是首个成功应用生成式AI的产品。

XBOW创始人Oege de Moor

XBOW的创始团队中汇聚了顶尖的安全专家，以及安全与AI领域的领军级研究员。XBOW的安全业务由Nico Waisman领导，他此前曾担任Lyft的首席信息安全官（CISO）。Diego Jurado和Joel Noguera同样是前沿的安全研究专家，因其在HackerOne及其他平台上的卓越战绩而闻名。

与Oege de Moor共同创立GitHub Copilot的核心成员Albert Ziegler、Andy Rice、Aqeel Siddiqui和Johan Rosenkilde也加入了XBOW。安全与AI交叉领域的顶尖学术研究者Brendan Dolan-Gavitt与Tom Bolton共同组建了XBOW的AI研究团队。

当AI驱动的安全工具在效率和准确性上超越人类专家

过去，行业主要依靠渗透测试人员、漏洞猎人和安全研究员通过模拟攻击来发现安全缺口，以便开发人员能及时弥合，人类专家一直是这项关键工作的黄金标准。

但是当AI崛起后，大规模提升进攻性安全能力的需求变得空前迫切。

首先，AI让编程的门槛大大降低，例如Curser，lovable，GitHub Copilot等AI编程工具拥有大量用户，这使得数以百万计未经网络安全专业训练的人，也在打造和发布属于自己的新软件。其结果是，需要安全保障的软件数量正以前所未有的速度增长。

然后，恶意攻击者正利用AI作为强大武器，发起更具威胁的攻击。这些攻击给企业造成的损失，已是十年前的三倍有余。这迫使企业和开发者们升级防御体系，但是人类专家的速度已然无法跟上。

最新调查显示，近三分之二的机构表示，在维持渗透测试项目时，他们面临的最大挑战便是寻找足够多的专业人才。

XBOW试图解决人类安全专家不足的问题，它是由AI驱动的，完全自动化的渗透测试工具，它无需任何人工干预，其运作方式酷似人类渗透测试专家，但速度比人类专家更快，仅需数小时便可完成一次全面的渗透测试。

AI的特性是适合解决有确定答案的结构化问题，在结构化的基准测试和开源项目中发现漏洞，是XBOW的起点。但是真正让它产生价值的，还是到真实环境中工作。

在2024年XBOW刚获得种子轮融资时，他们能以超越人类的速度，自主解决75%的网络应用安全基准测试。这些测试包括PortSwigger和PentesterLab等业界领先平台提供的543项基准。

随后，XBOW与五位不同水平的人类专家进行了涵盖了广泛的漏洞类型的测试比拼，这些测试内容是原创的，不包含在任何 AI 模型的训练数据集中。测试结果显示，XBOW排名第二，超过了大部分人类专家。但是，这些人类专家完成测试的时间是40个小时，XBOW则仅花了28 分钟就完成了漏洞的发现与利用。

数字表示完成测试的比例

再之后，XBOW开始挑战真实的黑盒生产环境，投身于全球最大的黑客竞技场之一HackerOne。在这里，由企业亲自验证和分类漏洞，担当最终的裁判。

XBOW登顶HackerOne

随着XBOW在多个项目中不断发现并报告漏洞，它在HackerOne的排行榜上攀升，最后在获得B轮融资前夕，登顶了HackerOne美国区，也超越了所有人类专家。

在产品方面，XBOW具有几个特点。首先，它能同时扫描数千个Web应用，实现了规模化，进而就能在效率上大幅超过人类专家。

第二是准确性，以往自动化安全工具一直误报率很高，在漏洞扫描领域尤为明显。为了保证准确性，XBOW开发了一种“验证器” ，这是一种自动化的同行评审机制，用于确认XBOW发现的每一个漏洞。有时，这个过程会利用大语言模型；而在其他情况下， XBOW会构建定制化的程序化检查。

第三是全面性，XBOW能够识别的漏洞包括：远程代码执行、SQL注入、XML外部实体注入 、路径遍历、服务器端请求伪造、跨站脚本、信息泄露、缓存投毒、密钥泄露等。

XBOW创始人兼首席执行官Oege de Moor表示：“当攻击者利用AI来自动化并加速其攻击行为时，防御者就必须以更强大的系统来应对。

如今，领先的安全团队正依赖XBOW持续测试其完整的应用组合。XBOW不再是针对少数关键系统的一次性渗透测试，而是在所有环境中，与开发流程同步，自动执行专家级的攻击。”

AI的智能性可能是提高AI安全工具表现的钥匙

此前，我们写过一篇文章，核心观点是安全性是AI应用落地的必要一环，AI没有安全，企业和用户就很难放心采用。我们也介绍了从模型，数据，应用等角度，保护AI安全的代表公司，例如ProtectAI，Cyera，Cyberhaven。

而XBOW代表的是AI对于安全的积极影响，在AI的加持下，它让漏洞发现的效率和准确率大幅度提升，还超过了人类顶尖黑客，创造了安全领域的Alpha Go时刻。

本质上，AI的核心能力是智能，它为人类带来的是生产力的提升，在安全领域也是如此。那么，在AI安全领域，哪些领域是肥水田，最具有创业的价值呢？

AI应用的保护和数据隐私保护方向显然很有价值，因为这个方向是AI应用普及的最大拦路石；此外，安全领域的其他重要方向都值得用AI做一遍，但是这里面的坑还是在于准确性，如果误报率不能降低，那么自动化反而帮倒忙，而AI的智能，可能会是提高准确性的钥匙。

本文来自微信公众号“阿尔法公社”，作者：阿尔法公社，36氪经授权发布。