XBOW es un pentester autónomo impulsado por IA que alcanzó por primera vez el puesto 1 en el ranking de HackerOne en EE. UU.
Comenzaron midiendo su rendimiento con desafíos CTF y luego crearon un benchmark propio que simula escenarios reales nunca usados para entrenar LLMs.
Pasaron de ejercicios artificiales a buscar vulnerabilidades zero-day en proyectos de código abierto bajo un modelo de pentest de caja blanca.
Para probarse en entornos reales, compitieron como agentes externos en programas de bug bounty de HackerOne, sin conocimiento interno, en modo caja negra.
Desarrollaron infraestructura para priorizar objetivos de alto valor mediante análisis de políticas de alcance, señales de protección, tecnologías y deduplicación de dominios.
Implementaron validadores automáticos (modelos LLM y chequeos programáticos) para confirmar cada hallazgo y reducir falsos positivos.
En más de 90 días XBOW presentó 1.060 vulnerabilidades, de las cuales se han resuelto 130 y 303 quedaron triadas; el 45 % aún espera resolución.
Encontró fallos críticos, altos, medios y bajos, incluyendo RCE, SQLi, XXE, SSRF, XSS, filtraciones de secretos y más.
Descubrió un fallo desconocido en GlobalProtect VPN de Palo Alto que afectaba a más de 2.000 hosts.
Próximamente publicarán en el blog estudios de caso técnicos que muestran la creatividad y adaptabilidad de XBOW en escenarios complejos.
Get notified when new stories are published for "🇪🇸 Hacker News Espanyol"