Как Xbow смог обойти человеческих хакеров и занять первое место в рейтинге HackerOne

Стартап Xbow, основанный в январе 2024 года Оэге де Муром, бывшим руководителем GitHub Copilot, смог обойти человеческих хакеров и занять первое место в рейтинге HackerOne в США благодаря своей инновационной AI-платформе для автономного тестирования на проникновение.

Вот ключевые факторы, которые обеспечили этот успех:

Технологические преимущества Xbow

Скорость и масштабируемость: Xbow способен проводить комплексные тесты на проникновение за считанные часы, в то время как традиционные методы с участием человека занимают недели и стоят в среднем $18,000 за систему. Например, в одном из тестов Xbow выполнил работу, эквивалентную 40 часам труда опытного пентестера с 20-летним стажем, всего за 28 минут.

Автономность и адаптивность: Платформа работает без человеческого вмешательства, автоматически обнаруживая и эксплуатируя уязвимости. В отличие от традиционных инструментов, зависящих от статических баз данных, Xbow постоянно обучается и адаптируется, выявляя даже новые, ранее неизвестные уязвимости, анализируя поведение приложений на конкретные входные данные.

Точность и валидация: Одной из проблем автоматизации является большое количество ложных срабатываний, но Xbow решает это с помощью системы валидаторов — автоматизированных проверок, подтверждающих каждую найденную уязвимость. Например, для проверки XSS-уязвимостей используется headless-браузер, который подтверждает выполнение вредоносного JavaScript-кода.

Результаты в реальных условиях

Xbow тестировался в публичных и частных программах bug bounty на HackerOne, где он выявил тысячи подтверждённых уязвимостей, включая такие серьёзные, как удалённое выполнение кода, SQL-инъекции, XSS, SSRF и раскрытие конфиденциальной информации. За период с апреля по июнь 2025 года Xbow подал около 1060 отчётов об уязвимостях, из которых 130 были устранены, а 303 помечены как “Triaged”. Это позволило ему достичь первого места в американском рейтинге HackerOne по репутации, что стало историческим событием — впервые машина обошла всех человеческих хакеров в этой категории.

Стратегия и подход

Xbow изначально не ставил целью лидерство в рейтинге, но участие в реальных программах bug bounty стало важным этапом для оценки эффективности платформы. Компания использовала строгие бенчмарки для измерения прогресса, а также применяла подход “dogfooding”, тестируя инструмент в условиях, максимально приближенных к реальным, без каких-либо привилегий или внутренней информации. Это позволило Xbow справляться с разнообразием систем — от современных технологий до устаревших решений возрастом 30 лет.

Таким образом, сочетание скорости, автономности, точности и способности адаптироваться к сложным реальным средам позволило Xbow превзойти человеческих хакеров и занять лидирующую позицию в рейтинге HackerOne в США.