XBOW, een volledig autonome AI-penetratietester, bereikte als eerste in de geschiedenis de nummer-1-positie op de VS HackerOne-ranglijst.
Benchmarking gebeurde in twee fasen: eerst bestaande CTF-uitdagingen, daarna eigen realistische benchmarks en open source-projecten om zero-days te vinden.
XBOW werd vervolgens ‘dogfood’-getest in echte black-box-bugbounties op HackerOne zonder interne kennis of handmatige hulp.
Schaalbaarheid en doelgerichtheid zijn bereikt door automatisering van scope-analyse, prioritering van targets middels een scoresysteem, en deduplicatie met SimHash en imagehash.
Accuracy van gevonden kwetsbaarheden wordt gegarandeerd door ‘validators’: LLM-checks en headless browsers om exploits te verifiëren.
In totaal werden 1.060 volledig geautomatiseerde kwetsbaarheidsrapporten ingediend: 130 opgelost, 303 getriaged, 33 nieuw, 125 in afwachting.
Rapporten omvatten een breed spectrum aan kwetsbaarheden, waaronder RCE, SQLi, XXE, path traversal, SSRF, XSS en meer.
Binnen 90 dagen werden 54 kritieke, 242 hoge, 524 medium en 65 lage severity-issues ingediend; circa 45% wacht nog op afhandeling.
Opvallende vondst: een onbekende kwetsbaarheid in Palo Alto’s GlobalProtect VPN die meer dan 2.000 hosts trof.
Get notified when new stories are published for "🇳🇱 Hacker News Dutch"