Récemment, l'entreprise de sécurité IA XBOW a annoncé que son outil IA autonome "XBOW" a surpassé les autres participants sur la plateforme de test de vulnérabilités réputée HackerOne et est devenu le premier au classement américain. C'est la première fois qu'un outil d'IA dépasse les chercheurs en sécurité humains pour occuper le premier rang du classement des déclarations de vulnérabilités de HackerOne, marquant un progrès majeur dans le domaine de la détection des vulnérabilités.
XBOW IA : Pionnier des tests d'intrusion automatisés
L'outil IA de XBOW est un système complet de tests d'intrusion (pentest) qui ne nécessite aucune intervention humaine pour imiter les opérations des chercheurs en sécurité humains, identifier et exploiter les vulnérabilités logicielles. Selon les informations disponibles, cet outil peut accomplir un test d'intrusion complet en quelques heures, couvrant plusieurs types de vulnérabilités tels que l'exécution de code à distance (RCE), l'injection SQL, le script cross-site (XSS), la falsification de demande côté serveur (SSRF) et la fuite d'informations. À ce jour, XBOW a soumis près de 1060 vulnérabilités sur la plateforme HackerOne, dont 132 ont été officiellement confirmées et corrigées, touchant des entreprises importantes telles que Disney, AT&T, Ford et Epic Games.
Sa particularité réside dans le fait que XBOW utilise l'apprentissage automatique pour former ses données sur les vulnérabilités réelles, permettant ainsi d'identifier précisément les vulnérabilités complexes, tout en disposant d'un mécanisme d'auto-validation pour garantir la précision des rapports de vulnérabilités soumis. Ce mode de test « boîte noire » ne dépend pas de l'accès au code interne, il simule des scénarios d'attaque réels et démontre le grand potentiel de l'IA dans le domaine de la sécurité informatique.
Classement de HackerOne : Une étape historique où l'IA dépasse l'humain
HackerOne est une plateforme qui relie les entreprises aux hackers éthiques, incitant les chercheurs en sécurité à découvrir et à signaler les vulnérabilités des systèmes via des programmes de récompenses pour les vulnérabilités. L'outil IA de XBOW a réussi à se classer en tête du classement américain de HackerOne au cours du deuxième trimestre 2025 (avril à juin), battant 99 chercheurs humains grâce à une évaluation globale basée sur le nombre de vulnérabilités soumises, le montant total des récompenses, la qualité des rapports et l'impact des vulnérabilités, occupant ainsi la première place dans la catégorie des plans de déclaration de vulnérabilités (VDP), et se classant sixième au niveau mondial.
Il convient de noter que le succès de XBOW n’est pas uniquement dû à la quantité. Les vulnérabilités découvertes comprennent un défaut inconnu de Palo Alto GlobalProtect VPN affectant plus de 2000 hôtes, mettant en évidence sa capacité à détecter des vulnérabilités critiques. De plus, XBOW a réduit significativement les fausses alertes courantes chez les outils d'IA traditionnels grâce à un processus interne strict de validation, assurant ainsi la haute qualité des rapports.
Avancées techniques : Du fruit pendu aux vulnérabilités complexes
Le groupe de développement de XBOW a déclaré que cet outil a subi plusieurs tests rigoureux, notamment les défis de « capture du drapeau » de PortSwigger et Pentesterlab, ainsi qu'environnements de test personnalisés simulant des scénarios réels. L'équipe a également optimisé davantage les capacités de détection des vulnérabilités de l'IA grâce à des tests en « boîte blanche » et à la découverte de zéros jours dans des projets open source.
Même si XBOW excelle actuellement dans la découverte de vulnérabilités de modèles connus, comme l'injection SQL et le XSS, sa capacité à explorer et à apprendre de manière autonome attire déjà l'attention de l'industrie. Les experts soulignent que, avec l'amélioration des technologies d'IA, des outils similaires à XBOW pourraient progressivement dépasser les limites, capables de découvrir des vulnérabilités complexes liées à la logique métier ou à des attaques en chaîne, jouant ainsi un rôle plus important dans le combat de cybersécurité.
Impact industriel : Une nouvelle espérance pour les défenseurs alimentés par l'IA
Le succès de XBOW apporte non seulement une innovation technique à l'industrie de la cybersécurité, mais suscite également de nouvelles discussions sur le rôle de l'IA. Michiel Prins, co-fondateur de HackerOne, a déclaré : « Des outils d'IA comme XBOW apportent une innovation impressionnante au domaine de la sécurité, accélérant la découverte et la réponse aux vulnérabilités. » Quant à Oege de Moor, PDG de XBOW, il pense que les outils de défense pilotés par l'IA aideront les entreprises à identifier et à corriger toutes les vulnérabilités avant le lancement du système, progressivement inversant l'équilibre entre attaque et défense en faveur des défenseurs.
Cependant, certaines préoccupations persistent dans l'industrie. Certains experts soulignent que les outils d'IA excellent dans la découverte rapide des vulnérabilités « faciles », mais leur capacité à faire face à des scénarios d'attaques complexes reste à prouver. En outre, les tests automatisés par IA pourraient entraîner une augmentation exponentielle des rapports de vulnérabilités, augmentant ainsi la charge de travail des entreprises pour la correction.
Financement : XBOW reçoit 75 millions de dollars pour accélérer son expansion
Au moment où XBOW se classe en tête du classement de HackerOne, l'entreprise a annoncé avoir clos un financement de série B de 75 millions de dollars, portant le montant total des financements à 117 millions de dollars. Ce financement a été mené par Altimeter, avec le soutien de fonds existants tels que Sequoia Capital. Les fonds seront utilisés pour étendre davantage la plateforme de sécurité pilotée par l'IA de XBOW et accélérer son implantation sur le marché mondial.
Intersection entre l'IA et la cybersécurité
La montée en puissance de XBOW marque le grand potentiel de l'IA dans le domaine de la cybersécurité. Son outil de tests d'intrusion entièrement automatisés améliore non seulement l'efficacité et l'échelle de la découverte des vulnérabilités, mais offre également aux entreprises des moyens de défense plus puissants. AIbase affirme que le succès de XBOW n’est pas seulement une victoire technologique, mais aussi un signe que de nouveaux modèles de collaboration entre l’IA et les humains sont en train de redéfinir la configuration de la cybersécurité. Cependant, comment équilibrer les avantages de l’automatisation de l’IA avec l’insight créatif des chercheurs humains reste une question clé que l’industrie devra explorer à l’avenir.
Avec l’annonce que XBOW partagera davantage de détails techniques lors de la conférence Black Hat Briefings en août 2025, l’attente de la communauté mondiale de la sécurité s’intensifie davantage.