Een AI-chatbot genaamd “Xbow” heeft als eerste in de geschiedenis de nummer 1 positie behaald op het prestigieuze HackerOne platform, waarbij het meer dan 99 andere hackers versloeg in het identificeren van kritieke beveiligingslekken.
De doorbraak van XBOW
Kunstmatige intelligentie heeft een historische mijlpaal bereikt in de cybersecurity wereld. De AI-gedreven penetratietester XBOW is er als eerste autonome systeem in geslaagd om de toppositie te behalen op HackerOne’s Amerikaanse ranglijst, een platform dat organisaties verbindt met ethische hackers voor bug bounty programma’s.
Deze ontwikkeling toont niet alleen aan hoever AI is gekomen in cybersecurity, maar illustreert ook hoe gemakkelijk deze technologie kan worden opgeschaald door kwaadwillenden. Kenners waarschuwen dat dit gebruik van kunstmatige intelligentie aanvallers bevoordeelt boven verdedigers, omdat het validatieproces dat vooral grote organisaties nodig hebben voor kritieke diensten nog altijd moeilijk te automatiseren is.
Meer dan 1k issues ontdekt
XBOW functioneert als een volledig autonome AI-gedreven penetratietester die geen menselijke input vereist, maar volgens de makers werkt zoals een menselijke pentester die snel kan opschalen en uitgebreide penetratietests in enkele uren kan voltooien. Het systeem slaagt voor 75% van de web security benchmarks en vindt en exploiteert kwetsbaarheden met hoge precisie.
Het AI-systeem heeft bijna 1.060 kwetsbaarheden ingediend bij HackerOne, variërend van remote code execution en informatielekken tot cache poisoning, SQL injection, XML external entities, path traversal, server-side request forgery, cross-site scripting en secret exposure. Van bijzonder belang is dat XBOW ook een voorheen onbekende kwetsbaarheid heeft geïdentificeerd in Palo Alto’s GlobalProtect VPN platform, die meer dan 2.000 hosts beïnvloedde.
Opvallende prestaties
De resultaten van XBOW’s activiteiten van de afgelopen 90 dagen zijn op z’n minst opmerkelijk te noemen. Van alle ingediende kwetsbaarheden werden 54 geclassificeerd als kritiek, 242 als hoog risico en 524 als medium ernst. Het systeem heeft bijgedragen aan het oplossen van 130 kwetsbaarheden, terwijl 303 zijn geclassificeerd als getrieerd. Opvallend is dat ongeveer 45% van de gevonden kwetsbaarheden nog wacht op oplossing, wat volgens Nico Waisman, hoofd beveiliging van XBOW, het volume en de impact van de inzendingen op live doelen benadrukt.
De tech achter XBOW
XBOW is het geesteskind van een team voormalige GitHub software engineers, geleid door Nederlander Oege de Moor, die eerder betrokken was bij de ontwikkeling van GitHub Copilot. Het bedrijf heeft in juli 2024 twintig miljoen dollar aan seed funding opgehaald onder leiding van Sequoia Capital. Recent heeft het bedrijf nog een keer flink uitgebreid met 75 miljoen dollar aan nieuwe financiering om hun autonome beveiligingsplatform verder uit te breiden.
Het bedrijf heeft een uitgebreid testproces doorlopen voordat XBOW operationeel werd. Eerst werd de bot getest met capture the flag uitdagingen van providers zoals PortSwigger en Pentesterlab. Vervolgens ontwikkelde het team eigen benchmarks die realistische scenario’s simuleren. In een directe vergelijking met menselijke pentesters presteerde XBOW opmerkelijk goed. Waar vijf professionele pentesters 40 uur kregen om 104 realistische web security benchmarks op te lossen, scoorde de meest ervaren tester met meer dan twintig jaar ervaring 85%, terwijl XBOW hetzelfde percentage behaalde in slechts 28 minuten.
Het team ging vervolgens op zoek naar zero-day kwetsbaarheden in open source projecten, waarbij de AI toegang kreeg tot broncode om white-box pentests te simuleren. Uiteindelijk begon XBOW deel te nemen aan publieke en private bug bounty programma’s op HackerOne, waarbij het werd behandeld als elke externe onderzoeker zonder shortcuts of interne kennis.
Verdedigers moeten hun aanpak heroverwegen?
Terwijl XBOW nu menselijke red-teamers in rap tempo verslaat , hebben verdedigers nog een lange weg te gaan om bij te blijven met de vloed van AI-uitgevoerde aanvallen. steeds vaker adopteren hackers heel snel nieuwe tools die hen in staat stellen sneller te bewegen, harder toe te slaan en preciezer te targeten dan ooit tevoren. Security specialisten blijven achter bij het direct inzetten van nieuwe technieken en programma’s.
Geautomatiseerde systemen lanceren niet alleen aanvallen op schaal, maar creëren ook zeer overtuigende nepinhoud, inclusief stem, video en e-mails, die de lijn vervagen tussen wat echt is en wat niet. Dit vertegenwoordigt een sprong in capaciteit, in plaats van slechts een stap vooruit. Beveiligingsteams verdedigen niet langer alleen tegen individuen achter toetsenborden, maar staan tegenover een systeem of team dat kan scannen, exploiteren en zich aanpassen in bijna real-time.
Het automatiseren van ontdekking kan paradoxaal genoeg ook gevaren introduceren. Het verder versnellen van exploit-ontdekking en gebruik kan leiden tot meer datalekken, ransomware-incidenten en verstoring van kritieke infrastructuur.
Toekomstperspectief
Met 132 officieel bevestigde en opgeloste kwetsbaarheden bij bekende ondernemingen zoals Disney, AT&T, Ford en Epic Games, heeft XBOW bewezen dat AI-gedreven cybersecurity geen verre toekomstmuziek meer is, maar een huidige realiteit. De opkomst van XBOW markeert een keerpunt in de cybersecurity industrie, waar de balans tussen aanvallers en verdedigers drastisch aan het verschuiven is.
Organisaties zullen hun beveiligingsstrategieën fundamenteel moeten heroverwegen om stand te houden tegen deze nieuwe generatie AI-gedreven bedreigingen. De tijd van reactive security is voorbij; proactieve, AI-ondersteunde verdediging wordt de nieuwe standaard in een wereld waar programma’s en bots met elkaar strijden in de wereld van nulletjes en eentjes….
