近日,AI 安全公司 XBOW 宣布,其自主研发的 AI 工具 「XBOW」 在全球知名漏洞众测平台 HackerOne 上力压群雄,成为美国排行榜
XBOWAI: 全自动渗透测试的先锋
XBOW 的 AI 工具是一款完全自主的渗透测试 (pentest) 系统,无需人工干预即可模拟人类安全研究员的操作,发现并利用软件漏洞。据悉,该工具能够在数小时内完成全面的渗透测试,覆盖包括远程代码执行 (RCE)、SQL 注入、跨站脚本 (XSS)、服务器端请求伪造 (SSRF)、信息泄露等在内的多种漏洞类型。截至目前,XBOW 已在 HackerOne 平台上提交了近 1060 个漏洞,其中 132 个已被官方确认并修复,涉及迪士尼、AT&T、福特、EpicGames 等知名企业。
其独特之处在于,XBOW 通过机器学习技术对真实漏洞数据进行训练,能够精准识别复杂的安全漏洞,同时配备自动化验证机制,确保提交的漏洞报告准确无误。这种 「黑盒测试」 模式无需依赖内部代码访问,模拟真实攻击场景,展现了 AI 在网络安全领域的强大潜力。
HackerOne 排行榜首:AI 超越人类的里程碑
HackerOne 是一个连接企业与道德黑客的平台,通过漏洞赏金计划激励安全研究员发现并报告系统漏洞。XBOW 的 AI 工具在 2025 年第二季度 (4 月至 6 月) 成功登顶 HackerOne 美国排行榜,以提交漏洞数量、赏金总额、报告质量及漏洞影响力的综合评分,力压 99 名人类研究员,位列漏洞披露计划 (VDP) 类别
值得注意的是,XBOW 的成功并非仅靠 「量」 取胜。其发现的漏洞包括对 PaloAltoGlobalProtectVPN 的未知漏洞,影响超过 2000 个主机,凸显了其在挖掘高危漏洞方面的能力。此外,XBOW 通过严格的内部验证流程,显著降低了传统 AI 工具常见的误报问题,确保了报告的高质量。
技术突破: 从低挂果实到复杂漏洞的跨越
XBOW 的开发团队表示,该工具经过了多轮严苛的基准测试,包括 PortSwigger 和 Pentesterlab 的 「夺旗」 挑战,以及模拟真实场景的自建测试环境。团队还通过白盒测试和开源项目中的零日漏洞挖掘,进一步优化了 AI 的漏洞检测能力。
尽管目前 XBOW 主要擅长发现已知模式的漏洞,如 SQL 注入和 XSS 等,但其自主探索和迭代学习能力已引起行业关注。专家指出,未来随着 AI 技术的进步,类似 XBOW 的工具可能进一步突破,具备发现复杂业务逻辑漏洞或链式攻击的能力,从而在网络安全攻防战中扮演更关键的角色。
行业影响:AI 赋能防御者的新希望
XBOW 的成功不仅为网络安全行业带来了技术革新,也引发了关于 AI 角色的新讨论。HackerOne 联合创始人 MichielPrins 表示:「像 XBOW 这样的 AI 工具为安全领域带来了惊艳的创新,加速了漏洞的发现与响应。」 而 XBOW 首席执行官 OegedeMoor 则认为,AI 驱动的防御工具将帮助企业在系统上线前发现并修复所有漏洞,逐步扭转攻防天平向防御者倾斜。
与此同时,业内也存在一定担忧。部分专家指出,AI 工具在快速发现 「低挂果实」 漏洞方面表现优异,但其在创造性思维和复杂攻击场景中的能力仍有待验证。此外,AI 自动化测试可能导致漏洞报告数量激增,给企业修复工作带来压力。
资本助力:XBOW 获 7500 万美元融资加速扩张
就在 XBOW 登顶 HackerOne 排行榜的同时,公司宣布完成 7500 万美元的 B 轮融资,总融资额达到 1.17 亿美元。本轮融资由 Altimeter 领投,红杉资本等现有投资者跟投。资金将用于进一步扩展 XBOW 的 AI 驱动安全平台,加速其在全球市场的布局。
AI 与网络安全的未来交汇
XBOW 的崛起标志着 AI 在网络安全领域的巨大潜力,其全自动渗透测试工具不仅提升了漏洞发现的效率和规模,也为企业提供了更强大的防御手段。AIbase 认为,XBOW 的成功不仅是技术的胜利,更预示着 AI 与人类协作的新模式正在重塑网络安全格局。然而,如何平衡 AI 的自动化优势与人类研究员的创造性洞察,仍是行业未来需要探索的关键课题。
随着 XBOW 即将在 2025 年 8 月的 BlackHatBriefings 安全会议上分享更多技术细节,全球安全社区对这一工具的期待进一步升温。
