Sztuczna inteligencja na szczycie łowców błędów: autonomiczny pentester XBOW zmienia reguły gry
Zrewolucjonizowanie dziedziny wykrywania luk w zabezpieczeniach stało się faktem. XBOW, autonomiczny tester penetracyjny oparty na sztucznej inteligencji, po raz pierwszy w historii programów bug bounty osiągnął pierwszą pozycję w amerykańskim rankingu. To przełomowy moment, który podważa dotychczasowe paradygmaty pracy białych kołnierzyków w cyberbezpieczeństwie.
Droga na szczyt – od sztucznych symulacji do realnych zagrożeń
Historia XBOW to przykład ewolucji od kontrolowanych środowisk testowych do konfrontacji z realiami operacyjnymi. Początkowo, rozwój systemu koncentrował się na rygorystycznym benchmarkingu. Zespół XBOW przystosował istniejące wyzwania CTF (Capture The Flag) od renomowanych dostawców, takich jak PortSwigger czy Pentesterlab, by następnie stworzyć własny, unikalny benchmark. Ten autorski zestaw testów symulował scenariusze świata rzeczywistego, nigdy wcześniej nieużywane do trenowania dużych modeli językowych (LLM). Mimo obiecujących wyników, nadal były to ćwiczenia o charakterze syntetycznym.
Kolejnym logicznym krokiem stało się zatem poszukiwanie luk typu zero-day w projektach open source. XBOW, z dostępem do kodu źródłowego, symulował tu testy penetracyjne typu white-box, odkrywając szereg istotnych zagrożeń. Jednak prawdziwe wyzwanie czekało autonomicznego pentestera w docelowym środowisku: jaki potencjał zaprezentuje XBOW w warunkach produkcyjnych typu black-box, gdzie system działa bez wcześniejszej wiedzy o infrastrukturze?
Dogfooding AI: XBOW w ogniu rywalizacji HackerOne
By zweryfikować możliwości XBOW w praktyce, zastosowano strategię „dogfoodingu” – czyli używania własnego produktu w realnym środowisku. Postawiono na programy bug bounty platformy HackerOne, gdzie testowano system na równi z zewnętrznymi badaczami, bez jakichkolwiek ułatwień czy wewnętrznej wiedzy. XBOW, działając całkowicie autonomicznie, skanował i raportował podatności, co pozwoliło mu systematycznie piąć się w rankingach.
Warto podkreślić, że XBOW to w pełni autonomiczny system napędzany AI. Działa bez jakiejkolwiek interwencji człowieka, naśladując proces pracy ludzkiego pentestera, lecz z niespotykaną skalowalnością. Jest w stanie przeprowadzić kompleksowe testy penetracyjne w zaledwie kilka godzin, co czyni go nieocenionym narzędziem w szybko zmieniającym się krajobrazie zagrożeń.
Jednym z kluczowych wyzwań okazała się skalowalność. Chociaż XBOW z łatwością skanuje tysiące aplikacji internetowych, HackerOne gromadzi setki tysięcy potencjalnych celów. Zespół musiał opracować inteligentną infrastrukturę, która pozwoliła na strategiczne identyfikowanie celów o wysokiej wartości i priorytetyzację działań, maksymalizując w ten sposób efektywność. Oprogramowanie musiało także nauki się interpretować programy bug bounty, które często nie są przystosowane do odczytu maszynowego. W tym procesie wykorzystano LLM oraz, częściowo, nadzór ludzki. Co ciekawe, w jednym przypadku system został oficjalnie usunięty z programu za “automatyczne skanowanie”, co podkreśla potrzebę adaptacji regulaminów do nowych rozwiązań.
By zapewnić precyzję, zespół XBOW opracował koncepcję tak zwanych walidatorów – automatycznych recenzentów, którzy potwierdzają każdą wykrytą lukę. Czasem proces ten wykorzystuje modele językowe, innym razem tworzy się niestandardowe, programistyczne weryfikacje. Na przykład, w celu zatwierdzenia podatności XSS (Cross-Site Scripting), bezgłowa przeglądarka odwiedza docelową witrynę, aby zweryfikować, czy ładunek JavaScript faktycznie został wykonany. Takie podejście znacząco redukuje liczbę fałszywych alarmów, które są zmorą wielu narzędzi do automatycznego skanowania.
Wpływ na świat rzeczywisty: od wykryć po rankingi
Skuteczność XBOW została potwierdzona w praktyce. System zgłosił tysiące zweryfikowanych luk, wiele z nich dotyczyło celów wysokiego profilu i znanych firm. Wszystkie zgłoszenia zostały potwierdzone przez właścicieli programów i sklasyfikowane jako realne, możliwe do podjęcia działania incydenty bezpieczeństwa. Widocznym sygnałem postępu jest właśnie pozycja na szczycie rankingu HackerOne w USA. Konkurując z tysiącami ludzkich badaczy, XBOW pnie się na sam szczyt, co stanowi doskonały punkt odniesienia do oceny rzeczywistej wydajności systemu.
XBOW zgłosił blisko 1060 podatności. Wszystkie były wynikiem w pełni zautomatyzowanego procesu, choć zespół bezpieczeństwa firmy dokonywał finalnej weryfikacji przed zgłoszeniem, w celu zachowania zgodności z polityką HackerOne dotyczącą narzędzi automatycznych.
Do tej pory w programach bug bounty usunięto 130 luk, zaś 303 zostały sklasyfikowane jako poddane wstępnej ocenie (głównie w programach VDP, które potwierdziły problem, ale nie przystąpiły do jego rozwiązania). Dodatkowo, 33 raporty są obecnie oznaczone jako nowe, a 125 czeka na przegląd przez właścicieli programów.
System zidentyfikował pełne spektrum podatności, w tym zdalne wykonanie kodu (RCE), wstrzykiwanie SQL (SQLi), XML External Entities (XXE), Path Traversal, Server-Side Request Forgery (SSRF), Cross-Site Scripting (XSS), ujawnienie informacji, zatrucie pamięci podręcznej (Cache Poisoning) oraz ekspozycję tajemnic. W ciągu ostatnich 90 dni, zgłoszone luki zostały sklasyfikowane przez właścicieli programów jako: 54 o krytycznym znaczeniu, 242 o wysokim, 524 o średnim i 65 o niskim znaczeniu. Warto odnotować, że około 45% znalezisk XBOW wciąż czeka na rozwiązanie, co podkreśla skalę i wpływ zgłoszeń na żywe systemy.
Wśród najbardziej znaczących osiągnięć XBOW znalazła się niezidentyfikowana wcześniej luka w oprogramowaniu VPN GlobalProtect firmy Palo Alto Networks, która dotykała ponad 2000 hostów. To wydarzenie pokazało zdolność systemu do adaptacji do specyficznych, granicznych przypadków oraz do opracowywania kreatywnych strategii eksploatacji skomplikowanych scenariuszy, całkowicie autonomicznie.
