XBOW, an autonomous penetration tester, has reached the top spot on HackerOne
a year ago
- #AI
- #BugBounty
- #Cybersecurity
- XBOW,一款自主AI驱动的渗透测试工具,登顶美国HackerOne漏洞赏金平台排行榜首位。
- 初期测试包含CTF挑战赛和定制基准评估,随后转向真实场景中开源项目的零日漏洞挖掘。
- XBOW无需人工干预即可运行,并能快速扩展,在数小时内完成渗透测试。
- 由于现代系统与遗留系统的多样性,向真实环境过渡的过程充满挑战。
- XBOW以外部研究员的身份平等参与HackerOne公开及私有漏洞赏金计划。
- 扩展策略采用基于WAF存在性、HTTP状态码等多维度信号的评分系统进行目标优先级排序。
- 通过域名去重技术有效避免了对相似环境的冗余测试。
- XBOW配备验证器确保漏洞准确性,显著降低误报率。
- 累计报告数千个经核实的漏洞,其中多涉及高价值目标。
- 以提交1,060余个漏洞的成绩问鼎HackerOne美国区排行榜。
- 发现的漏洞类型包括远程代码执行、SQL注入、XXE、SSRF等,其中大量漏洞仍待修复。
- 标志性成果是发现Palo Alto的GlobalProtect VPN漏洞,影响超2,000台主机。
- 项目方对XBOW发现的漏洞予以确认,印证了其实际应用价值与环境适应能力。