自主 AI 黑客的崛起:XBOW 的 Oege de Moor

cover>

摘要

Oege de Moor 是 XBOW 的创始人兼 CEO,GitHub Copilot 的联合创造者。在 Sequoia AI Ascent 2026 上,他提出了一个令人震撼的警告:自主 AI 黑客(Autonomous AI Hacking)已经来临,而且比人类黑客更强。 XBOW 的 AI 仅凭一个 URL——无需任何其他输入——在几周内就发现了微软 Bing 图片搜索的远程代码执行漏洞(RCE),成本仅 3000 美元。更惊人的是,XBOW 的 AI 机器人以完全黑盒测试的方式登上了 HackerOne 全球排行榜第一——这意味着它像真正的攻击者一样,零内部信息、完全自主地发现和利用漏洞。Oege 以 1575 年长篠之战的隐喻开场:织田信长用火枪击败了不可一世的武田骑兵,拥有 AI 的一方将获胜。 他进一步预测,6-9 个月内将出现与顶尖模型能力相当的开放权重模型(open weight models),届时恶意攻击者将拥有同等武器。他呼吁:所有前沿模型必须最大化网络安全能力、赋能人类安全研究者使用 AI、以及优先关注真正可被利用的漏洞。核心信息如他所说:"如果你想和家人一起吃一顿美好的感恩节晚餐,最好现在就开始修复。"

正文

长篠之战的隐喻

Oege 以一个历史隐喻开启了演讲:1575 年日本的长篠之战。画面左侧是织田信长的军队——一个新兴的、被视为"暴发户"的年轻军阀,但他将战争视为一个可以优化的系统,使用了当时最先进的武器——火枪。右侧是武田家——以无敌骑兵闻名的传奇武士氏族。

"猜猜谁赢了?"Oege 问道。

答案不言而喻。网络安全领域的局势将完全一样——拥有 AI 的一方将获胜。

自主黑客的现实:URL 到完全捕获,只需 3000 美元

几周前,微软公布了一个 Bing 图片搜索的远程代码执行(RCE)漏洞。Bing 图片搜索——全球防御最严密的系统之一,由微软顶尖工程师设计,同时被全球成千上万黑客日夜攻击。

这个 RCE 漏洞——最严重的一类,允许在目标系统上运行任意代码、完全控制——是由 XBOW 的 AI 发现的。

XBOW 唯一需要的输入是什么?只有一个 URL。 没有其他任何东西。成本?标价 3000 美元。

"它快、它便宜、而且极其有效,"Oege 总结道。

XBOW 的工作方式与人类黑客惊人地相似:首先进行侦察——派出大量侦察代理(scouts)发现攻击面;然后优先级排序——评估哪些端点最有攻击价值;最后全面攻击——尝试每一种相关的攻击类型。

HackerOne 全球第一:AI vs. 最优秀的人类

面对安全研究人员的普遍怀疑——许多人认为机器完全自主执行此类任务是不可能的——Oege 采取了极具说服力的行动。去年,他将 XBOW 的机器人注册到了 HackerOne 平台。

HackerOne 是一个连接企业和道德黑客的平台——黑客攻击系统并报告漏洞,根据漏洞质量获得赏金和积分。

结果令人震惊:
- 几周内,XBOW 成为美国排名第一的黑客
- 到 8 月,XBOW 成为全球排名第一的黑客

Oege 强调:"这完全是黑盒测试。就像 Bing 的例子——你只给它一个 URL,别无其他。AI 完全自主完成所有工作。"

更惊人的是性能趋势。去年 3 月,XBOW 在开源真实 web 应用上的表现从 37% 起步。随后通过 Claude Sonnet 和 Gemini 的"合金"组合登顶排行榜。GPT-5 发布后,仅从性能推断,它将比排行榜上最强的人类好三倍。

"合金"策略:让两个模型互补

Oege 简要介绍了一个有趣的技术概念——"合金"(Alloys):

"把攻击想象成一系列动作。在每一步,你抛一枚硬币来决定询问哪个模型——要么问 Gemini,要么问 Sonnet。这比单独使用任一模型都要好得多。"

这类似于结对编程(Pair Programming):两个模型互相弥补对方的错误。

随着基础模型在短短几个月内的巨大进步,Oege 展示的基准测试图表已经接近饱和——"我们最好收集一组新的基准测试,因为现有的基本被跑满了。"

黑盒 vs. 白盒:XBOW 与静态分析的区别

Oege 清晰地区分了两种安全测试范式:

"这些是 XBOW 为你回答的问题,"Oege 说。

负数的警示:CVE 发布的死亡赛跑

Oege 提供了一个令人警醒的数据点:

2018 年,从 CVE(通用漏洞披露)发布到恶意攻击者在野外利用它,平均间隔约2.5 年

今天,这个数字已经变成负数。对于大多数 CVE,在漏洞被正式发布之前,它就已经在被利用了。

"面对所有这些证据,"Oege 说,"每当有 AI 与安全相关的新闻出现,传统的网络安全股票就下跌——这在我看来完全无法理解。我们需要每一种可能的防御手段来对抗这些自主 AI 驱动的攻击。"

6-9 个月的窗口

Oege 做出了一个具体的预测:6-9 个月内,我们将拥有与顶尖闭源模型能力相当的开放权重模型。

他的推断来自软件工程代理的进展速度。这意味着:

"如果你是恶意攻击者,你将可以在自己的硬件上托管这些模型,以极低成本大规模运行它们——而且没有审计追踪。"

他提出了三条行动纲领:

  1. 最大化网络能力: 所有从事前沿模型工作的人必须停止关于"是否安全"的讨论。我们正处于一场军备竞赛中。
  2. 赋能人类安全研究者: 让人类安全专家将 AI 作为他们工作的延伸,以最大化在攻击者之前找到所有漏洞的概率。
  3. 优先处理真正重要的: 你需要知道哪些漏洞真正可被利用,它们的影响是什么——XBOW 可以帮助回答这些问题。

结语:感恩节晚餐的倒计时

Oege 的结束语简洁而有力:

"如果你想和家人一起吃一顿美好的感恩节晚餐,你最好现在就开始修复。"

在 AI 吞噬软件世界的时代,自主 AI 黑客的出现代表着一个根本性的安全范式转变。当一台机器可以仅凭一个 URL、花费 3000 美元、在几周内攻破全球防御最严密的系统之一——而且这种能力每几个月翻倍——我们面临的不是未来的威胁,而是正在发生的现实。

正如 1575 年的长篠之战宣告了武士时代的终结,自主 AI 黑客的到来正在宣告传统网络安全的终结。唯一的问题是:你站在哪一边?