Khi AI là hacker dẫn đầu bảng xếp hạng uy tín ngành an ninh mạng Mỹ
Xbow, công ty khởi nghiệp phát triển công cụ bảo mật chuyên dùng để mô phỏng tấn công mạng, đang được đánh giá rất cao, vừa huy động được 75 triệu USD.
Công cụ bảo mật chuyên dùng để mô phỏng tấn công mạng, sử dụng kỹ thuật giống hacker (nhưng hợp pháp và có sự cho phép) để tự động dò tìm các lỗ hổng bảo mật trong phần mềm, giúp các công ty phát hiện và sửa lỗi sớm.
Một hacker có tên Xbow đang đứng đầu bảng xếp hạng uy tín thuộc ngành an ninh mạng Mỹ, chuyên theo dõi những người phát hiện và báo cáo nhiều lỗ hổng bảo mật nhất trong phần mềm của các công ty lớn. Thế nhưng, Xbow không phải con người mà là công cụ trí tuệ nhân tạo (AI) do hãng cùng tên phát triển.
Đây là lần đầu tiên một sản phẩm AI từ Xbow dẫn đầu bảng xếp hạng theo danh tiếng của HackerOne tại Mỹ. Bảng xếp hạng này đánh giá theo số lượng lỗ hổng tìm thấy và mức độ nghiêm trọng của từng cái, theo Michiel Prins - đồng sáng lập HackerOne.
HackerOne là nền tảng bảo mật nguồn mở quy tụ cộng đồng nổi tiếng, giúp các tổ chức tuyển dụng hacker đạo đức để tìm và khắc phục lỗ hổng bảo mật trong hệ thống.
Hoạt động chính của HackerOne
1. Các công ty công khai hoặc mời riêng các hacker mũ trắng thử xâm nhập hệ thống của họ. Nếu tìm ra lỗi, hacker báo cáo và nhận thưởng theo mức độ nghiêm trọng của lỗ hổng.
2. Cung cấp dịch vụ kiểm thử xâm nhập có kế hoạch, theo yêu cầu, giúp hệ thống kiểm định bảo mật thực tiễn và theo quy trình chuẩn.
3. Kết hợp giữa sức mạnh AI và chuyên gia bảo mật để kiểm tra hệ thống AI và mã nguồn sâu rộng, giúp phát hiện những lỗ hổng tinh vi nhất.
4. Quản lý lỗ hổng thông qua thiết lập rõ ràng các chính sách, quy trình và giao tiếp nhằm xử lý các báo cáo một cách hiệu quả và minh bạch.
Hiện nay, Xbow (công ty khởi nghiệp mới thành lập được một năm) đã huy động được 75 triệu USD trong vòng gọi vốn mới do hãng Altimeter Capital dẫn dắt, cùng sự tham gia của các nhà đầu tư hiện tại như Sequoia Capital và NFDG. Xbow từ chối tiết lộ định giá của mình.
Michiel Prins cho biết các nhà nghiên cứu an ninh cùng hacker từ lâu đã tự động hóa một phần công việc của mình, và AI đã trở thành công cụ quan trọng trong hai năm qua. Gần như tất cả hacker là con người hiện nay đều sử dụng AI để tăng hiệu quả và có một số công ty đang cố gắng làm điều tương tự như Xbow. Prins gọi họ là các công ty hackbot.
“Có thể thay đổi hoàn toàn cuộc chơi”
Được thành lập vào tháng 1.2024 bởi Oege de Moor (cựu giám đốc tại GitHub), Xbow chuyên tự động hóa việc kiểm tra xâm nhập, tức quá trình các hacker tìm kiếm lỗ hổng bảo mật và tìm cách đột nhập vào mạng nội bộ của doanh nghiệp. Các công ty thường thuê hoặc duy trì nhóm người chuyên thực hiện công việc này, gọi là red team (đội đỏ), nhằm cải thiện và bảo vệ hệ thống mạng, phần mềm. Tuy nhiên, việc này khá tốn kém, trung bình 18.000 USD và vài tuần làm việc cho một hệ thống, nên không phải lúc nào cũng được thực hiện thường xuyên, theo Oege de Moor. Ông muốn bán sản phẩm của mình để giúp khách hàng kiểm tra liên tục và thường xuyên hơn, đặc biệt là trước khi các sản phẩm và hệ thống mới được đưa vào hoạt động.
“Bằng cách tự động hóa việc này, chúng ta có thể thay đổi hoàn toàn cuộc chơi”, Oege de Moor nói. Trước đây, ông từng giám sát dự án GitHub Copilot - công cụ tạo mã bằng AI do Microsoft sở hữu.
Tuy nhiên, thách thức là các hacker được tài trợ tốt cũng đang sử dụng AI để tự động hóa các cuộc tấn công và gia tăng tần suất với chi phí thấp hơn. “Xbow đang sở hữu một công nghệ thực sự hoạt động hiệu quả, điều đó rất hào hứng nhưng cũng hơi đáng sợ, vì chúng ta đang bước vào kỷ nguyên máy móc tấn công mạng máy móc”, theo Nat Friedman từ NFDG, cựu giám đốc điều hành GitHub.
Oege de Moor, người sáng lập Xbow - Ảnh: Interenet
Từng là giáo sư khoa học máy tính tại Đại học Oxford (Anh) trong hai thập kỷ, Oege de Moor tin rằng cán cân quyền lực sẽ dần nghiêng về phía những người phòng thủ, nhờ các công cụ như Xbow. “Có thể sẽ xuất hiện một giai đoạn hỗn loạn khi chưa phải ai cũng sẵn sàng trước các cuộc tấn công do AI hỗ trợ. Song hiện tại, lần đầu tiên, chúng ta có thể hy vọng rằng các chuyên gia phòng thủ có thể tìm và sửa tất cả lỗ hổng trước khi hệ thống vận hành”, ông nói.
Trước đó, Oege de Moor đã sáng lập Semmle - công ty khởi nghiệp chuyên phát hiện lỗi bảo mật trong mã nguồn, được GitHub mua lại vào năm 2019. Microsoft đã mua GitHub vào năm 2018 và bổ nhiệm Nat Friedman làm giám đốc điều hành. Khi còn làm Giám đốc điều hành GitHub, Nat Friedman muốn thực hiện hàng loạt thương vụ mua lại để mở rộng sản phẩm và chiêu mộ nhân tài khởi nghiệp.
Nat Friedman và đối tác của hãng đầu tư tư nhân Altimeter Capital là Apoorv Agrawal cho biết đang tìm hiểu cách AI có thể nâng cao an ninh mạng khi Oege de Moor bắt đầu xây dựng Xbow.
“Ngành an ninh mạng đang đối mặt với một cuộc khủng hoảng niềm tin. Có quá nhiều cảnh báo. Điều mà những giám đốc an ninh mạng muốn là ‘ít hơn, không phải nhiều hơn’. Họ muốn sự đơn giản và ít cảnh báo hơn. AI có thể giúp điều đó”, Apoorv Agrawal nhận định.
Altimeter Capital (Mỹ) chuyên đầu tư vào công nghệ, phần mềm và internet, cả ở giai đoạn khởi nghiệp lẫn đã niêm yết.
HackerOne cung cấp nền tảng bảo mật nơi các công ty có thể đưa ra phần thưởng để khuyến khích tìm lỗi. Có cả chương trình mở và mời riêng. Xbow tham gia cả hai.
Khi một AI như Xbow phát hiện lỗ hổng, HackerOne yêu cầu có con người tại công ty xác minh để tránh lỗi “ảo giác” (đưa ra thông tin sai nhưng trông có vẻ đúng và thuyết phục). Sau đó, báo cáo được chuyển tới công ty sở hữu sản phẩm bị lỗi. Nếu lỗi được xác nhận, Xbow được cộng điểm danh tiếng. Nếu lỗi càng nghiêm trọng thì điểm càng cao.
Báo cáo các lỗi bảo mật tới hơn 12 công ty nổi tiếng
Theo Oege de Moor, sản phẩm của Xbow đã phát hiện và báo cáo thành công các lỗi bảo mật tới hơn 12 công ty nổi tiếng, gồm cả Amazon, Walt Disney, PayPal Holdings và Sony Group. Ông từ chối nêu tên khách hàng hiện tại của Xbow, chỉ nói rằng họ là các công ty lớn trong lĩnh vực dịch vụ tài chính và công nghệ.
Đội ngũ Xbow có sự góp mặt của nhiều cựu nhân viên GitHub, chẳng hạn Nico Waisman (từng là giám đốc an ninh thông tin tại Lyft, hiện làm giám đốc an ninh Xbow) và Albert Ziegler (trưởng bộ phận AI của Xbow, từng làm việc tại GitHub và Semmle).
Dù thuật toán của Xbow giỏi trong việc phát hiện các lỗi lập trình phổ biến và vấn đề bảo mật, nhưng lại kém trong việc hiểu các lỗi xuất phát từ logic thiết kế sản phẩm. Ví dụ, Oege de Moor nói rằng AI cần được chỉ dẫn rõ ràng khi kiểm tra một trang web y tế rằng đơn thuốc cần giữ riêng tư. Xbow sẽ không tự hiểu rằng dù bác sĩ hoặc dược sĩ cần có khả năng truy cập đơn thuốc của nhiều bệnh nhân, nhưng sẽ là vấn đề bảo mật nếu bệnh nhân này thấy được đơn thuốc của người khác.
Trong tương lai, Xbow cũng muốn thêm khả năng hướng dẫn khách hàng cách khắc phục lỗ hổng bảo mật và thậm chí đề xuất mã để sửa lỗi đó.
Apoorv Agrawal nói rằng để công nghệ này được áp dụng rộng rãi, khách hàng cũng cần thay đổi cách làm việc. “Bất cứ khi nào có một công nghệ đủ tiên tiến, việc áp dụng ở giai đoạn cuối yêu cầu thay đổi quy trình làm việc. Điều đó yêu cầu thay đổi thói quen mà con người thực hiện suốt nhiều năm, đôi khi là nhiều thập kỷ”, ông cho hay.
