L’outil AI XBow découvre les bugs critiques plus rapidement que les chercheurs humains
Que vient-il de se passer? Un an seulement après sa fondation, la startup de cybersécurité XBOW a atteint le sommet du classement Hackerone, une plate-forme qui classe les chasseurs de bogues les plus efficaces au monde par le nombre et la gravité des vulnérabilités qu’ils découvrent pour les grandes entreprises. Cela marque la première fois qu’un système d’intelligence artificielle revendique la première place, dépassant des milliers de pirates éthiques humains et de chercheurs en sécurité qui ont traditionnellement dominé le domaine.
L’ascension rapide de XBow est un signal frappant de la façon dont l’intelligence artificielle remodèle le paysage de la sécurité des logiciels. L’outil basé sur l’AI, développé par une équipe dirigée par le fondateur et PDG Oege de Moor, a obtenu un score de « réputation » sur Hackerone près de 25% plus élevé que son concurrent humain le plus proche. Depuis son lancement, XBow a identifié des centaines de défauts de logiciels – allant des injections SQL et des scripts croisés à l’exécution du code distant – à travers des produits de sociétés de haut niveau, notamment Toyota, Disney, IBM, AT&T, PayPal et Sony.
La technologie derrière XBow fonctionne en effectuant de manière autonome des tests de pénétration, un processus où les systèmes sont sondés pour des faiblesses que les acteurs malveillants pourraient exploiter. Contrairement aux équipes rouges traditionnelles, qui nécessitent souvent des semaines d’effort manuel et peuvent coûter des dizaines de milliers de dollars par engagement, l’IA de XBOW peut en permanence des vulnérabilités à une fraction du temps et du coût. Le système utilise une série d’examinateurs de pairs automatisés pour vérifier la légitimité de chaque constatation, réduisant le besoin d’intervention humaine et minimisant les faux positifs.
L’efficacité de XBow a été validée par des références standard de l’industrie. L’IA a passé de manière autonome 75% des repères de sécurité Web de fournisseurs reconnus, et lorsqu’il a été testé sur un ensemble de nouveaux défis conçus pour empêcher les solutions recyclées, il a résolu 85% d’entre eux. Cela démontre non seulement sa capacité à détecter les défauts connus mais aussi à générer des solutions originales à de nouveaux problèmes.
L’élan de l’entreprise a attiré des investissements importants. Au cours de sa première année, XBow a obtenu plus de 117 millions de dollars de financement de partisans éminents, notamment l’ancien PDG de Github, Nat Friedman, et des sociétés de capital-risque telles que Sequoia Capital et Altimeter Capital.
Pour la première fois dans l’histoire, le pirate n ° 1 aux États-Unis est une IA.
(1/8) pic.twitter.com/ivgvdqptae
– XBow (@xbow) 24 juin 2025
Malgré son succès, XBow fait face à des défis communs aux systèmes d’IA. Certains de ses rapports ont été marqués comme des doublons ou simplement informatifs, obligeant les équipes humaines à filtrer les conclusions moins exploitables. La technologie lutte également contre les vulnérabilités qui découlent de la logique commerciale ou des nuances contextuelles, telles que des règles de confidentialité spécifiques à certaines industries, qui nécessitent toujours des conseils explicites.
Alors que les outils dirigés par l’IA comme XBow deviennent plus répandus, le champ de cybersécurité entre dans une nouvelle ère où les machines se défendent de plus en plus – et parfois attaquent – d’autres machines. Bien que cela soulève des inquiétudes quant au potentiel de l’IA à utiliser par des pirates malveillants, les créateurs de XBow soutiennent qu’une telle technologie est essentielle pour aider les défenseurs à suivre le rythme. « Nous pouvons, pour la première fois, avoir l’espoir que les défenseurs puissent trouver et réparer toutes les vulnérabilités avant que un système ne s’éteigne », a déclaré De Moor au Economic Times.
