Hace poco, la empresa de seguridad de IA XBOW anunció que su herramienta de IA desarrollada por sí misma, "XBOW", superó a todos los demás en el famoso plataforma de pruebas de vulnerabilidades HackerOne, convirtiéndose en el primer lugar en el ranking de EE.UU. Este es el primer caso en el que una herramienta de IA supera a investigadores humanos en el ranking de divulgación de vulnerabilidades de HackerOne, marcando un hito importante en el campo de detección de vulnerabilidades.
XBOW AI: Pionera en pruebas de penetración automatizadas
La herramienta de IA de XBOW es un sistema completo de pruebas de penetración (pentest) que no requiere intervención humana y puede simular las operaciones de investigadores de seguridad humanos para descubrir y explotar vulnerabilidades de software. Se informa que esta herramienta puede completar pruebas de penetración completas en horas, abarcando varios tipos de vulnerabilidades, incluyendo ejecución remota de código (RCE), inyección SQL, scripting cruzado de sitios (XSS), falsificación de solicitudes del lado del servidor (SSRF) y filtración de información. Hasta ahora, XBOW ha presentado casi 1.060 vulnerabilidades en la plataforma HackerOne, de las cuales 132 han sido confirmadas oficialmente y corregidas, involucrando empresas importantes como Disney, AT&T, Ford y Epic Games.
Su característica única radica en que XBOW entrena mediante técnicas de aprendizaje automático con datos reales de vulnerabilidades, permitiendo identificar con precisión vulnerabilidades complejas, además de contar con un mecanismo de verificación automatizado que garantiza que los informes de vulnerabilidades presentados sean precisos. Este modelo de "prueba de caja negra" no depende del acceso al código interno, simulando escenarios reales de ataque, demostrando el gran potencial de la IA en el campo de la ciberseguridad.
Primer lugar en el ranking de HackerOne: El hito de que la IA supere a los humanos
HackerOne es una plataforma que conecta empresas con hackers éticos, incentivando a investigadores de seguridad para que descubran y reporten vulnerabilidades en sistemas mediante programas de recompensas por vulnerabilidades. La herramienta de IA de XBOW logró colocarse en el primer lugar del ranking de EE.UU. de HackerOne en el segundo trimestre de 2025 (abril a junio), superando a 99 investigadores humanos, ocupando el primer lugar en la categoría de planes de divulgación de vulnerabilidades (VDP), y ubicándose en el sexto lugar en el ranking global.
Destaca que el éxito de XBOW no se debe solo al "volumen". Las vulnerabilidades detectadas incluyen una vulnerabilidad desconocida en el cliente VPN Palo Alto GlobalProtect, afectando a más de 2.000 hosts, destacando así su capacidad para descubrir vulnerabilidades de alto riesgo. Además, XBOW reduce significativamente los falsos positivos comunes en herramientas de IA tradicionales mediante un estricto proceso de validación interna, asegurando la alta calidad de los informes.
Avances tecnológicos: De vulnerabilidades sencillas a vulnerabilidades complejas
El equipo detrás de XBOW indicó que la herramienta pasó por múltiples pruebas rigurosas, incluyendo desafíos de "captura de banderas" de PortSwigger y Pentesterlab, así como ambientes de prueba personalizados que simulan escenarios reales. El equipo también optimizó aún más la capacidad de detección de vulnerabilidades de la IA mediante pruebas de caja blanca y la búsqueda de vulnerabilidades cero día en proyectos de código abierto.
Aunque actualmente XBOW destaca principalmente en la detección de vulnerabilidades con patrones conocidos, como inyección SQL y XSS, su capacidad de exploración autónoma y aprendizaje iterativo ya ha llamado la atención del sector. Expertos señalan que, con el avance de la tecnología de IA, herramientas similares a XBOW podrían superar aún más, adquiriendo la capacidad de descubrir vulnerabilidades en lógica empresarial compleja o ataques en cadena, desempeñando así un papel más crucial en la batalla de ciberseguridad.
Impacto en la industria: Una nueva esperanza para los defensores impulsados por IA
El éxito de XBOW no solo trae innovaciones tecnológicas a la industria de la ciberseguridad, sino que también ha provocado nuevos debates sobre el papel de la IA. Michiel Prins, cofundador de HackerOne, dijo: "Herramientas de IA como XBOW traen innovaciones sorprendentes al campo de la seguridad, acelerando el descubrimiento y respuesta a vulnerabilidades." Mientras tanto, Oege de Moor, CEO de XBOW, cree que las herramientas de defensa impulsadas por IA ayudarán a las empresas a descubrir y corregir todas las vulnerabilidades antes de que los sistemas se lancen, gradualmente equilibrando la balanza hacia los defensores.
A la vez, existen ciertas preocupaciones dentro de la industria. Algunos expertos señalan que aunque las herramientas de IA son excelentes en la rápida detección de vulnerabilidades de bajo riesgo, su capacidad en escenarios de ataque creativos y complejos aún está en desarrollo. Además, las pruebas automatizadas de IA pueden generar un aumento significativo en la cantidad de informes de vulnerabilidades, lo que podría generar presión en el trabajo de corrección de las empresas.
Apoyo financiero: XBOW recibe 75 millones de dólares en financiación para acelerar su expansión
Mientras XBOW alcanzaba el primer lugar en el ranking de HackerOne, la empresa anunció haber completado una ronda de financiación B de 75 millones de dólares, llevando el total de financiación a 117 millones de dólares. Esta ronda fue liderada por Altimeter, con inversionistas existentes como Sequoia Capital participando. Los fondos se utilizarán para ampliar aún más la plataforma de seguridad impulsada por IA de XBOW y acelerar su expansión en los mercados globales.
El futuro de la IA y la ciberseguridad
El surgimiento de XBOW marca el gran potencial de la IA en el campo de la ciberseguridad. Su herramienta de pruebas de penetración totalmente automatizada no solo mejora la eficiencia y el alcance en la detección de vulnerabilidades, sino que también proporciona a las empresas medios de defensa más poderosos. AIbase considera que el éxito de XBOW no solo es una victoria tecnológica, sino que también predice que un nuevo modelo de colaboración entre IA y humanos está transformando el escenario de la ciberseguridad. Sin embargo, cómo equilibrar las ventajas de automatización de la IA con la perspicacia creativa de los investigadores humanos sigue siendo una cuestión clave que el sector debe explorar en el futuro.
A medida que XBOW se prepara para compartir más detalles técnicos en la conferencia de seguridad Black Hat Briefings en agosto de 2025, la expectativa de la comunidad de seguridad global hacia esta herramienta aumenta aún más.