XBOW人工智能滲透測試工具登頂HackerOne

XBOW，一款由人工智能驅動嘅全自主滲透測試工具，喺2025年6月成功登上HackerOne美國排行榜嘅榜首，成為首個喺漏洞披露平台上超越所有人類黑客嘅AI系統。呢個成就標誌住人工智能喺網絡安全領域嘅重大突破，特別係喺滲透測試（pentesting）同漏洞獵人（bug bounty）嘅應用上。HackerOne係一個連繫企業同道德黑客嘅平台，通過懸賞計劃鼓勵搵到同報告軟件漏洞，而XBOW嘅表現證明咗AI喺模擬攻擊同搵漏洞方面有無與倫比嘅潛力。

根據報導，XBOW喺短短幾個月內提交咗超過1,000份漏洞報告，涵蓋咗多種類型嘅安全漏洞，包括遠程代碼執行（RCE）、SQL注入、跨站腳本攻擊（XSS）、服務器端請求偽造（SSRF）同XML外部實體（XXE）等。喺2025年4月至6月期間，佢提交嘅漏洞報告中有54個被評為「嚴重」，242個為「高風險」，524個為「中風險」，以及65個為「低風險」，顯示咗佢喺真實環境中搵到同報告漏洞嘅高效同精準。相比傳統人類滲透測試員，XBOW嘅優勢在於佢可以24/7不間斷運行，並喺幾小時內完成全面嘅滲透測試，大幅縮短咗測試時間同提升咗效率。

XBOW嘅訓練過程由解決CTF（Capture The Flag）挑戰開始，呢啲係網絡安全教育中常用嘅模擬練習，之後再轉向模擬真實世界環境嘅測試。為咗確保報告質量，XBOW仲用咗一個「驗證器」層，通過語言模型或自定義腳本自動檢查漏洞嘅真實性，有效減少咗誤報（false positives）。公司創始人Oege de Moor表示，XBOW嘅設計目標係模擬頂尖人類滲透測試員嘅行為，但具備更大規模同更快速度嘅執行能力。佢提到：「我哋嘅團隊有好多成員都喺進攻性安全領域有頂尖經驗，我哋深知要擴展呢個行業，單靠人力係唔夠嘅。隨着攻擊者開始用AI加速漏洞利用，防守方都必須用更強大嘅系統應對。」

喺一項實驗中，XBOW同五位專業滲透測試員進行咗對比，佢哋喺104個真實網絡安全基準測試中競爭。結果顯示，XBOW喺28分鐘內解決咗85%嘅基準測試，表現同一位擁有20年經驗嘅首席滲透測試員 Federico Muttis 不相上下，而後者花咗40個小時先完成同樣任務。呢位資深測試員驚訝地表示：「我真沒想到XBOW能解決我應對嘅一啲挑戰，佢嘅表現真係令人震驚。」呢項成就突顯咗XBOW喺處理複雜漏洞時嘅能力，特別係喺中等同簡單難度嘅挑戰中，佢甚至超越咗所有人類測試員。

雖然XBOW嘅表現令人印象深刻，但有評論指出，佢嘅成功部分歸功於其24/7運行嘅能力同大量提交報告嘅數量優勢。HackerOne嘅排行榜以聲譽得分計算，考慮到報告數量、漏洞重要性同誤報率等因素。雖然AI喺數量上佔優，但人類黑客喺複雜環境中嘅創造力同上下文理解仍係不可替代嘅優勢。XBOW嘅開發團隊亦承認，喺最困難嘅挑戰中，人類嘅創意同經驗仍然領先。

隨着75百萬美元嘅B輪融資，XBOW計劃擴大其工程團隊同市場推廣，進一步將AI技術應用到企業安全測試中。佢已經同大型銀行同科技公司合作，幫助佢哋喺軟件開發過程中持續測試同修補漏洞。呢個模式唔單止改變咗傳統滲透測試嘅方式，仲將安全測試融入開發流程，確保漏洞喺產品上線前被修補。喺網絡攻擊日益複雜嘅今日，XBOW嘅出現為企業提供咗一個高效、可擴展嘅解決方案，同時亦喚起咗業界對AI喺網絡安全中角色嘅深入討論。

來源：Freebuf