IA para a busca de vulnerabilidades ultrapassou os hackers éticos

A ferramenta de IA Xbow da empresa homônima liderou a tabela de hackers éticos que descobriram e relataram o maior número de vulnerabilidades em softwares de grandes empresas.

Os 10 melhores hackers éticos segundo a HackerOne. Dados: HackerOne. A HackerOne oferece uma plataforma onde empresas podem testar seu software e oferecer recompensas por encontrar falhas. Existem programas abertos e fechados. Os últimos estão disponíveis por convite. A Xbow participa de ambos.

A ferramenta ajudou a detectar falhas nos sistemas da Amazon, Disney, PayPal, Sony Group Corporation.

O cofundador da HackerOne, Michiel Prins, destacou que este é o primeiro caso em que um serviço de IA liderou a tabela de líderes de reputação nos Estados Unidos. Ela mede a quantidade de vulnerabilidades encontradas e a sua importância.

Xbow foi fundada em janeiro de 2024 pelo ex-líder do Copilot, Oge de Mour. Ela atraiu $75 milhões em uma nova rodada de financiamento, liderada pela Altimeter Capital com a participação da Sequoia Capital e NFDG.

As empresas frequentemente contratam pessoas que testam redes corporativas em busca de potenciais vulnerabilidades. O procedimento dura várias semanas e custa em média $18 000. De Mour pretende vender um produto que permitirá realizar essas verificações regularmente.

O cofundador da HackerOne destacou que os caçadores de vulnerabilidades há muito automatizaram parte de seu trabalho, e nos últimos dois anos a IA se tornou uma ferramenta chave em suas atividades. Praticamente todos os especialistas humanos complementam os esforços da inteligência artificial, e alguns tentam criar uma ferramenta semelhante ao Xbow.

O problema é que hackers mal-intencionados também usam algoritmos de IA para automatizar ataques, aumentar sua quantidade e reduzir custos.

«Pela primeira vez, podemos esperar que os defensores consigam encontrar e eliminar todas as vulnerabilidades antes que o sistema falhe», destacou de Mour

O algoritmo Xbow lida bem com a detecção de erros típicos no código, no entanto, ele tem dificuldade em compreender as falhas na lógica de design do produto.

Recordamos que, em maio de 2025, foi integrado um novo mecanismo de proteção com a aplicação de inteligência artificial no navegador Chrome do Google.