Kürzlich kündigte die AI-Sicherheitsfirma XBOW an, dass ihr eigenentwickelter AI-Tool „XBOW“ auf der weltweit bekannten Plattform für Sicherheitslücken HackerOne in den USA auf Platz 1 der Rangliste gelangte. Dies ist der erste Fall, bei dem ein AI-Tool menschliche Sicherheitsforscher übertrifft und die Top-Position auf der HackerOne-Lückenberichts-Rangliste erreicht. Dies markiert einen Meilenstein im Bereich der Schwachstellen-Detektion durch KI.
XBOW AI: Vorreiter der automatisierten Penetrationstests
Das AI-Tool von XBOW ist ein vollständig autonomes Penetrationstest-System, das ohne menschliches Eingreifen die Aktionen menschlicher Sicherheitsforscher nachahmen kann, um Software-Schwachstellen zu finden und auszunutzen. Es wird berichtet, dass das Werkzeug in einigen Stunden umfassende Penetrationstests durchführen kann und eine Vielzahl von Schwachstellen wie Remote Code Execution (RCE), SQL-Injection, Cross-Site Scripting (XSS), Server Side Request Forgery (SSRF) und Information Leakage abdeckt. Bislang hat XBOW fast 1060 Schwachstellen auf HackerOne eingereicht, davon wurden 132 offiziell bestätigt und repariert, unter anderem bei Unternehmen wie Disney, AT&T, Ford und Epic Games.
Seine Besonderheit besteht darin, dass XBOW durch maschinelles Lernen mit echten Schwachstellen-Daten trainiert wird und komplexe Sicherheitsschwachstellen präzise erkennen kann. Zudem verfügt es über ein automatisiertes Validierungsmechanismus, um sicherzustellen, dass die gemeldeten Schwachstellenberichte genau sind. Dieses „Black-Box-Test“-Modell benötigt keinen Zugriff auf internen Code und simuliert reale Angrisszenarien, was die enorme Potenzial von KI im Bereich der Netzwerksicherheit zeigt.
Erster Platz auf HackerOne: Meilenstein, bei dem KI Menschen übertrifft
HackerOne ist eine Plattform, die Unternehmen mit ethischen Hackern verbindet und durch Bug-Bounty-Programme Sicherheitsforscher dazu ermutigt, Systemschwachstellen zu finden und zu melden. Das AI-Tool von XBOW gelangte im zweiten Quartal 2025 (April bis Juni) erfolgreich auf den ersten Platz der HackerOne-Rangliste in den USA. Mit einer Gesamtbewertung basierend auf der Anzahl der gemeldeten Schwachstellen, der Gesamtbelohnungssumme, der Qualität der Berichte und der Auswirkung der Schwachstellen übertraf es 99 menschliche Forscher und stand an der Spitze der Kategorie Vulnerability Disclosure Program (VDP). Zudem belegte es in der globalen Rangliste den sechsten Platz.
Interessanterweise gewann XBOW nicht nur durch „Quantität“. Die entdeckten Schwachstellen umfassten beispielsweise eine unbekannte Schwachstelle in Palo Alto GlobalProtect VPN, die mehr als 2000 Hosts betraf, was seine Fähigkeit zur Entdeckung von schwerwiegenden Schwachstellen unterstreicht. Darüber hinaus reduzierte XBOW durch strenge interne Validierungsprozesse das Problem von Falschmeldungen, das bei traditionellen AI-Werkzeugen häufig vorkommt, und sorgte so für hochwertige Berichte.
Technologischer Durchbruch: Von einfachen Schwachstellen zu komplexen Problemen
Das Entwicklerteam von XBOW gab an, dass das Werkzeug mehreren strengen Benchmark-Tests unterzogen wurde, einschließlich „Capture-the-Flag“-Challenges von PortSwigger und Pentesterlab sowie selbstgeschaffener Testumgebungen, die realistische Szenarien模拟ierten. Das Team optimierte zudem die Schwachstellenerkennungsfähigkeiten der KI durch White-Box-Tests und Zero-Day-Schwachstellen-Entdeckung in Open-Source-Projekten.
Obwohl XBOW derzeit hauptsächlich gut darin ist, bekannte Muster von Schwachstellen wie SQL-Injection oder XSS zu finden, hat seine Fähigkeit zur Selbstentdeckung und iterativen Lernfähigkeit Aufmerksamkeit in der Branche geweckt. Experten weisen darauf hin, dass künftig mit Fortschritten in der KI-Technologie ähnliche Tools wie XBOW möglicherweise weiter voranschreiten und in der Lage sein könnten, komplexe Geschäftslogik-Schwachstellen oder Kettenangriffe zu identifizieren, wodurch sie eine noch wichtigere Rolle im Cybersecurity-Kampf spielen könnten.
Brancheneffekte: Neue Hoffnung für Verteidiger durch KI
Der Erfolg von XBOW brachte nicht nur technologische Innovationen in die Cybersecurity-Branche, sondern löste auch neue Diskussionen über die Rolle von KI aus. Michiel Prins, Mitbegründer von HackerOne, sagte: „Tools wie XBOW bringen beeindruckende Innovationen in den Sicherheitsbereich und beschleunigen die Erkennung und Reaktion auf Schwachstellen.“ Der CEO von XBOW, Oege de Moor, glaubt jedoch, dass KI-gestützte Verteidigungstools Unternehmen dabei helfen werden, alle Schwachstellen vor dem Systemstart zu entdecken und zu beheben und somit allmählich das Gleichgewicht zwischen Angriff und Verteidigung zugunsten der Verteidiger zu verändern.
Gleichzeitig bestehen in der Branche jedoch auch Bedenken. Einige Experten weisen darauf hin, dass KI-Tools beim schnellen Erkennen von „low-hanging fruits“-Schwachstellen sehr gut abschneiden, aber ihre Fähigkeiten in kreativem Denken und komplexen Angrisszenarien noch nicht vollständig bewiesen sind. Außerdem könnte die Automatisierung von Schwachstellen-Tests zu einem starken Anstieg der Berichte führen und so Druck auf die Unternehmensbehebung ausüben.
Kapitalunterstützung: XBOW erhält 75 Millionen US-Dollar Finanzierung für Expansion
Gleichzeitig, als XBOW auf der HackerOne-Rangliste den ersten Platz erreichte, gab das Unternehmen bekannt, eine Serie B-Finanzierung von 75 Millionen US-Dollar abgeschlossen zu haben, wodurch sich der gesamte Finanzierungsbetrag auf 117 Millionen US-Dollar beläuft. Diese Finanzierung wurde von Altimeter angeführt, wobei auch bestehende Investoren wie Sequoia Capital teilnahmen. Das Geld wird verwendet, um die KI-gestützte Sicherheitsplattform von XBOW weiter auszubauen und den globalen Markteintritt zu beschleunigen.
Zukunft des KI und der Cybersecurity
Die Aufstieg von XBOW markiert das enorme Potenzial von KI im Bereich der Cybersecurity. Sein全自动 Penetrationstest-Tool verbesserte nicht nur die Effizienz und Skalierbarkeit der Schwachstellenentdeckung, sondern bot Unternehmen auch stärkere Verteidigungsmittel. AIbase meint, dass der Erfolg von XBOW nicht nur ein technischer Sieg ist, sondern auch andeutet, dass eine neue Form der Zusammenarbeit zwischen KI und Menschen in der Cybersecurity-Szene entsteht. Allerdings bleibt die Frage, wie man die Vorteile der Automatisierung von KI mit der kreativen Einsicht menschlicher Forscher balancieren kann, eines der Schlüsselthemen, die die Branche in Zukunft erforschen muss.
Mit der bevorstehenden Präsentation weiterer technischer Details auf der Sicherheitskonferenz Black Hat Briefings im August 2025 steigt die Erwartung der globalen Sicherheitsgemeinschaft gegenüber diesem Werkzeug weiter an.