官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
聊天机器人"Xbow"登顶HackerOne排行榜
人工智能(AI)的表现已经超越人类红队成员。在HackerOne平台上,一个名为"Xbow"的AI聊天机器人目前位居美国安全行业声誉排行榜首位。该平台通过漏洞赏金计划连接企业与道德黑客,Xbow在识别和报告企业软件漏洞方面的表现显著优于其他99名黑客。运营该机器人的公司表示,这在漏洞赏金历史上尚属首次。
这一进展既展示了AI在网络安全领域的飞速进步,也暴露出攻击者同样可以轻松扩展这种技术。"不幸的是,在这种情况下人工智能的应用更有利于攻击者而非防御者,因为大型组织仍需人工验证关键服务的补丁,这一过程目前仍难以自动化。"Beauceron Security的David Shipley表示。
发现超1000个安全漏洞
Xbow是一款完全自主的AI渗透测试工具,其创造者表示它"运作方式与人类渗透测试员相似",能在几小时内完成全面测试。据其官网显示,该工具通过了75%的Web安全基准测试,能准确发现并利用漏洞。
Xbow向HackerOne提交了近1060个漏洞,包括:
- 远程代码执行
- 信息泄露
- 缓存中毒
- SQL注入
- XML外部实体
- 路径遍历
- 服务端请求伪造(SSRF)
- 跨站脚本
- 密钥暴露
该工具还发现了Palo Alto公司GlobalProtect VPN平台中一个此前未知的漏洞,影响超过2000台主机。在最近90天提交的漏洞中,54个被归类为严重,242个为高危,524个为中危。目前已有130个漏洞得到修复,303个进入分类处理阶段。
值得注意的是,约45%的漏洞仍在等待解决。Xbow安全主管Nico Waisman表示,这凸显了"对现网目标提交漏洞的数量和影响"。该公司首先使用PortSwigger等平台进行"夺旗"挑战测试,随后建立模拟真实场景的基准测试,最终让AI通过访问源代码进行白盒渗透测试。
防御者需转变策略
尽管Xbow正以惊人速度超越人类红队成员,专家认为防御者在应对AI攻击方面仍有很长的路要走。Info-Tech研究集团技术顾问Erik Avakian指出:"黑客正快速采用新工具,使他们能够更迅速、更精准地发动攻击。"
自动化系统不仅能发起大规模攻击,还能制作高度逼真的虚假内容,包括语音、视频和电子邮件,"模糊了真实与虚假的界限"。Avakian强调:"安全团队不再只是对抗键盘后的个人,而是在与一个能够近乎实时扫描、利用和适应的系统或团队作战。"
Beauceron的Shipley警告,自动化漏洞发现可能带来危险:"进一步加快漏洞发现和利用将导致更多数据泄露、勒索软件事件和关键基础设施中断。"他认为,防御者本已疲于应对软件补丁需求,这一发展将使形势"雪上加霜"。
Avakian建议组织需要:
- 与具备机器速度检测响应能力的合作伙伴合作
- 建立完善的安全路线图和风险协议
- 加强团队培训
"了解这些新技术工作原理及攻击者使用方式的团队,将能更快速、更自信地做出响应。"Avakian总结道,"这种转变不是即将到来——它已经发生。"
参考来源:
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)