美国顶尖红队竟是一台AI机器人

人工智能（AI）的美国表现已经超越人类红队成员
。在HackerOne平台上 ，顶尖一个名为"Xbow"的红队AI聊天机器人目前位居美国安全行业声誉排行榜首位 
。该平台通过漏洞赏金计划连接企业与道德黑客，竟台机器Xbow在识别和报告企业软件漏洞方面的美国表现显著优于其他99名黑客 。运营该机器人的顶尖公司表示
，这在漏洞赏金历史上尚属首次。红队

这一进展既展示了AI在网络安全领域的竟台机器飞速进步，也暴露出攻击者同样可以轻松扩展这种技术 。美国"不幸的顶尖是免费模板
，在这种情况下人工智能的红队应用更有利于攻击者而非防御者 
，因为大型组织仍需人工验证关键服务的竟台机器补丁 
，这一过程目前仍难以自动化。美国"Beauceron Security的顶尖David Shipley表示  。

发现超1000个安全漏洞

Xbow是红队一款完全自主的AI渗透测试工具 ，其创造者表示它"运作方式与人类渗透测试员相似" ，能在几小时内完成全面测试。据其官网显示 ，该工具通过了75%的源码下载Web安全基准测试，能准确发现并利用漏洞。

Xbow向HackerOne提交了近1060个漏洞
，包括：

远程代码执行信息泄露缓存中毒SQL注入XML外部实体路径遍历服务端请求伪造(SSRF)跨站脚本密钥暴露

该工具还发现了Palo Alto公司GlobalProtect VPN平台中一个此前未知的漏洞，影响超过2000台主机 。在最近90天提交的漏洞中 ，54个被归类为严重，242个为高危 ，524个为中危 。目前已有130个漏洞得到修复，303个进入分类处理阶段
。

值得注意的是服务器租用 ，约45%的漏洞仍在等待解决。Xbow安全主管Nico Waisman表示，这凸显了"对现网目标提交漏洞的数量和影响" 。该公司首先使用PortSwigger等平台进行"夺旗"挑战测试，随后建立模拟真实场景的基准测试，最终让AI通过访问源代码进行白盒渗透测试。

防御者需转变策略

尽管Xbow正以惊人速度超越人类红队成员 ，专家认为防御者在应对AI攻击方面仍有很长的路要走 。Info-Tech研究集团技术顾问Erik Avakian指出 ："黑客正快速采用新工具 ，使他们能够更迅速、源码库更精准地发动攻击 。"

自动化系统不仅能发起大规模攻击 ，还能制作高度逼真的虚假内容 ，包括语音、视频和电子邮件，"模糊了真实与虚假的界限"
。Avakian强调
："安全团队不再只是对抗键盘后的个人，而是在与一个能够近乎实时扫描 、利用和适应的系统或团队作战 。模板下载"

Beauceron的Shipley警告 ，自动化漏洞发现可能带来危险
："进一步加快漏洞发现和利用将导致更多数据泄露 、勒索软件事件和关键基础设施中断。"他认为 ，防御者本已疲于应对软件补丁需求 ，这一发展将使形势"雪上加霜" 。

Avakian建议组织需要：

与具备机器速度检测响应能力的合作伙伴合作建立完善的安全路线图和风险协议加强团队培训

"了解这些新技术工作原理及攻击者使用方式的团队，将能更快速 、更自信地做出响应 。"Avakian总结道 ，"这种转变不是亿华云即将到来——它已经发生。"