CATEGORY

AIを活用した完全自律型の侵入テストツール「XBOW」がHackerOneのランキングでついに人間を抜いて1位に – GIGAZINE


セキュリティ脆弱(ぜいじゃく)性を発見したハッカーに企業が報奨金を支払うプラットフォームであるHackerOneでは、セキュリティ研究者の貢献度や実績に基づいて順位付けされたリーダーボード(ランキング)が公開されています。シアトルに拠点を置くAIセキュリティエンジニアリング企業のXBOWは、同名のAIツールがHackerOneのリーダーボードで1位になったことを発表しました。

XBOW – The road to Top 1: How XBOW did it
https://xbow.com/blog/top-1-how-xbow-did-it/


HackerOne Leaderboard
https://hackerone.com/leaderboard

This AI Is Outranking Humans as a Top Software Bug Hunter | PCMag
https://www.pcmag.com/news/this-ai-is-outranking-humans-as-a-top-software-bug-hunter

HackerOneでは、全ユーザーの世界的な順位、月間や年間の貢献度、特定のカテゴリの評価、特定企業のバグ報告にどれだけ貢献したかのほか、国ごとのハッカーの順位がリーダーボードに表示されています。ランキングは報告した脆弱性の数、受け取った報奨金総額、バグ報告の質の高さや誤りの少なさを考慮した信頼度スコア、どれだけ重要なバグを報告したかのインパクトスコアなどに基づいて判断されます。

このHackerOneリーダーボードにおいて、AIが完全自動で侵入テストを実行して脆弱性を発見、レポートの生成まで行う「自律型侵入テスター」である「XBOW」が、2025年4月から6月にかけて脆弱性開示プログラム機関部門で人間のハッカーを上回り1位を獲得しました。

以下が2025年6月25日時点のランキング。アメリカ国内のランキングは1位ですが、バグ報奨金プログラムを加えた総合ランキングでは世界6位にとどまり、世界トップクラスの人間の専門家には及ばない結果となりました。


XBOWはAI主導で脆弱性を発見・攻撃・証明レポート提出を自動で行う企業向けサービスで、人の介在なくレポート生成まで担うため、数千ものウェブアプリを同時に簡単にスキャン出来るなどスケール性に優れています。一方で、AIによる脆弱性の発見は驚くほど効率的ですが、AIによる自動スキャンは長年誤検知に悩まされており、課題は検出ではなく「精度」にあります。XBOWでは精度を確保するために発見した脆弱性を一つ一つ検証する「自動レビュー機能」の概念を開発しました。

XBOWは約1060件の脆弱性を報告し、うち130件の脆弱性が報告によって解決され、303件が「内容を確認して対応するかどうか検討中」とマークされました。2025年4月から6月までで、提出された脆弱性の内プログラムのオーナーによって重大度が「重大」と分類されたものが54件、「高」が242件、「中」が524件、「低」が65件と、十分に影響力の高い報告ができているとXBOWは述べています。

XBOWのセキュリティ部門責任者であるニコ・ワイスマン氏は「バグバウンティの歴史上で初めて、自律型侵入テスターがアメリカの1位を獲得しました」と今回の成果を強調しています。GitHubの元CEOであるナット・フリードマン氏は、XBOWの成果を受けて「今やAIによる脆弱性テストツールが正常に動作しているのを見るのは興奮しますが、機械が機械をハッキングする時代に入ったことを考えると、少し怖いとも思います」と語りました。

HackerOneの共同創業者であるミヒール・プリンス氏は、XBOWについて「XBOWのようなAIハックボット企業は、セキュリティ分野に素晴らしい革新をもたらし、脆弱性の発見と対応を加速させています。しかし、AIは自らハッキングを学習するわけではありません。ハッカーがAIを訓練するのです。このフィードバックループにおいて、人間の研究者は依然として重要なパートナーであり、AIは量ではリードしているものの、ビジネスへの影響が最も大きい発見を提供するのは依然として人間です。ハックボットは、自動化を活用した人間の創意工夫によって推進される進化の次のステップに過ぎません」と述べ、XBOWの成果を認めつつも人間のハッカーをリスペクトする姿勢をコメントしています。

XBOWがどのようにしてセキュリティ脆弱性の見地を行い、AI自律型侵入テスター特有の大量の誤検知を回避しているのかという詳細については、2025年8月2日から5日間開催されるセキュリティカンファレンスのBlack Hat Briefingsで語られる予定です。
・関連記事
18年前の脆弱性がPS5&PS4のジェイルブレイクコミュニティで注目を集める – GIGAZINE

Twitterから540万人分のアカウント情報が流出しハッカーが400万円で販売 – GIGAZINE

OpenAIが内部メッセージングシステムに不正アクセスされAI技術関連の情報を盗まれていたことが発覚、FBIや一般ユーザーには通知なしで秘密にしていた – GIGAZINE

自分自身のコードを書き換えてどんどん賢くなるAI「ダーウィン・ゲーデルマシン」とは? – GIGAZINE

「自己学習するAI」を実現するフレームワーク「SEAL」をMITの研究チームが発表、AIが新たな情報を自分で編集して強化学習してどんどん賢くなる – GIGAZINE

この記事のタイトルとURLをコピーする


ソース元はコチラ

この記事は役に立ちましたか?

もし参考になりましたら、下記のボタンで教えてください。

イスラエルによるイランの核施設への徹底攻撃「ライジング・ライオン作戦」の成果がよくわかる詳細レポートを科学国際安全保障研究所が公開 - GIGAZINE 前の記事 ソースと肉の相性が抜群なバーガーキングの「ステーキソースワッパー」は角切り牛肩ロースにもう一歩の存在感が欲しいところ - GIGAZINE 次の記事

関連記事

  • テックニュース

AnthropicがチャットAIの悪用事例と対策手法をまとめたレポートを公開、100人以上のSNSアカウントをAIで動かして政治的思想を扇動するサービスが報告される – GIGAZINE

AI企業のAnthropicがチャットAIの悪用事例と対策手法をまとめたレポートを公開し、SNS上で複数の偽アカウントを作成して特定の政治的メッセージを拡散しようとする組織的な活動を阻止したと報告しています。Detecting and Cou

  • テックニュース

いつでもどこでも快適に眠れる睡眠服「ZZZN SLEEP APPAREL SYSTEM」が大阪・関西万博の会場に出現、心拍を測定して音声や光の明滅で快適な睡眠環境を即座に構築可能 – GIGAZINE

2025年06月24日 17時39分 取材 「ZZZN SLEEP APPAREL SYSTEM」は全身を覆うジャケットタイプの服に照明器具や音声再生機構などを組み込んだ「持ち運べる睡眠環境」で、ユーザーの心拍を測定して「光の明滅」や「リラックスで