人工智能（AI）的表現已經超越人類紅隊成員。在HackerOne平臺上，一個名為"Xbow"的AI聊天機器人目前位居美國安全行業聲譽排行榜首位。該平臺通過漏洞賞金計劃連接企業與道德黑客，Xbow在識別和報告企業軟件漏洞方面的表現顯著優于其他99名黑客。運營該機器人的公司表示，這在漏洞賞金歷史上尚屬首次。

這一進展既展示了AI在網絡安全領域的飛速進步，也暴露出攻擊者同樣可以輕松擴展這種技術。"不幸的是，在這種情況下人工智能的應用更有利于攻擊者而非防御者，因為大型組織仍需人工驗證關鍵服務的補丁，這一過程目前仍難以自動化。"Beauceron Security的David Shipley表示。

發現超1000個安全漏洞

Xbow是一款完全自主的AI滲透測試工具，其創造者表示它"運作方式與人類滲透測試員相似"，能在幾小時內完成全面測試。據其官網顯示，該工具通過了75%的Web安全基準測試，能準確發現并利用漏洞。

Xbow向HackerOne提交了近1060個漏洞，包括：

• 遠程代碼執行
• 信息泄露
• 緩存中毒
• SQL注入
• XML外部實體
• 路徑遍歷
• 服務端請求偽造(SSRF)
• 跨站腳本
• 密鑰暴露

該工具還發現了Palo Alto公司GlobalProtect VPN平臺中一個此前未知的漏洞，影響超過2000臺主機。在最近90天提交的漏洞中，54個被歸類為嚴重，242個為高危，524個為中危。目前已有130個漏洞得到修復，303個進入分類處理階段。

值得注意的是，約45%的漏洞仍在等待解決。Xbow安全主管Nico Waisman表示，這凸顯了"對現網目標提交漏洞的數量和影響"。該公司首先使用PortSwigger等平臺進行"奪旗"挑戰測試，隨后建立模擬真實場景的基準測試，最終讓AI通過訪問源代碼進行白盒滲透測試。

防御者需轉變策略

盡管Xbow正以驚人速度超越人類紅隊成員，專家認為防御者在應對AI攻擊方面仍有很長的路要走。Info-Tech研究集團技術顧問Erik Avakian指出："黑客正快速采用新工具，使他們能夠更迅速、更精準地發動攻擊。"

自動化系統不僅能發起大規模攻擊，還能制作高度逼真的虛假內容，包括語音、視頻和電子郵件，"模糊了真實與虛假的界限"。Avakian強調："安全團隊不再只是對抗鍵盤后的個人，而是在與一個能夠近乎實時掃描、利用和適應的系統或團隊作戰。"

Beauceron的Shipley警告，自動化漏洞發現可能帶來危險："進一步加快漏洞發現和利用將導致更多數據泄露、勒索軟件事件和關鍵基礎設施中斷。"他認為，防御者本已疲于應對軟件補丁需求，這一發展將使形勢"雪上加霜"。

Avakian建議組織需要：

• 與具備機器速度檢測響應能力的合作伙伴合作
• 建立完善的安全路線圖和風險協議
• 加強團隊培訓

"了解這些新技術工作原理及攻擊者使用方式的團隊，將能更快速、更自信地做出響應。"Avakian總結道，"這種轉變不是即將到來——它已經發生。"