人工智能加速代码生成。它还加速了漏洞的出现。随着软件构建工具在开发团队中传播,攻击面扩大,检测周期缩短。在这种背景下,新一代网络安全工具寻求自动化渗透测试和漏洞检测。
专注于自动化攻击性安全的初创公司 Escape 宣布筹集资金 一千五百万欧元 在 A 轮融资中,以加速其平台的开发。该业务由 Balderton Capital 牵头,Uncorlated Ventures 以及历史投资者 IRIS 和 Y Combinator 参与。
人工智能改变了网络攻击的暂时性
正在进行的转型主要是由于节奏的变化。随着代码生成平台和编程辅助工具的兴起,软件开发周期显着加快。
在这种情况下,漏洞会更快地出现并更快地被利用。根据 Escape 引用的数据,组织的平均经验 每周 1,968 次网络攻击,近年来水平显着提高。
🚨 智能工作
- MISTRAL – 客户经理,企业,法国 – 巴黎
- ANTHROPIC – 初创公司合作伙伴 – 法国和南欧
- 背景 – 人力资源总监 – 人力资源总监
- 综合理工学院 – 国际关系主任/副主任(F/M)
- CLAROTY — 销售开发代表
- FRACTTAL — 客户经理(法国)
- BRICKSAI — 创始增长经理
👉 在 DECODE MEDIA 招聘板上找到我们所有的职位
📩 您正在招聘并想加强您的雇主品牌吗?发现我们的合作伙伴优惠
开发速度和安全能力之间的差距给网络安全团队带来了越来越大的压力。在大多数技术公司中,与开发团队相比,安全团队在很大程度上仍占少数,这限制了他们持续分析生产中所有系统的能力。
这种不对称性解释了人们对能够模拟攻击者行为并在漏洞被利用之前识别漏洞的自动化方法越来越感兴趣。
传统方法的局限性
到目前为止,应用程序网络安全主要依赖于两类工具。
自动扫描器可以识别某些已知的漏洞,但它们通常仅限于技术签名。另一方面,由人类专家进行的渗透测试可以让您探索系统的应用程序逻辑,但其成本和持续时间使得大规模部署变得困难。
在应用程序不断更新的环境中,这些方法变得难以维护。
攻击者现在主要针对生产环境,应用程序的关键元素位于其中:真实配置、身份验证流程、服务和业务逻辑之间的集成。
新的自动化攻击性安全工具正是试图分析这一层。
能够模拟攻击者的代理
Escape 开发的平台基于人工智能代理,能够重现高级攻击者的策略,以探索应用程序的漏洞。
这些代理尤其可以分析服务的应用程序逻辑,检测配置错误,识别数据泄漏,甚至模拟利用仅存在于生产环境中的缺陷的攻击。
这种方法旨在自动化整个进攻性安全周期:攻击面映射、持续渗透测试和情境化补救建议。
该原则更多的是关于维持持续的检测和修复过程,而不是生成报告。
该公司表示,这种自动化将大大减少安全测试所需的时间。一些用户报告审计流程从几天缩短到几小时。
“氛围编码”的挑战
最近的一个现象加剧了这个问题:使用自动代码生成工具(有时称为“vibe 编码”)生成的应用程序激增。
这种开发模式通常速度更快并且可供非安全专家使用,但可能会引入使用传统工具难以检测到的漏洞。
逃逸声称已确定 此类开发导致 5,600 个公共应用程序中存在 2000 多个严重漏洞,其中 175起直接暴露敏感数据案例。这些缺陷在生产中存在,并且可能在几个小时内被利用。
对于安全团队来说,挑战在于这些漏洞的本质:它们通常依赖于业务逻辑或不同服务之间的交互,而不是孤立的代码错误。
持续安全的演变
这种转变是网络安全实践更广泛发展的一部分,其标志是安全工具逐步集成到开发管道中。目标是从一次性审核转变为 持续安全,直接集成到生产周期中。因此,能够自动化渗透测试和分析应用程序行为的解决方案可以成为 DevSecOps 架构的标准组件。
在代码生成不断加速的环境中,持续模拟攻击者行为的能力可能逐渐成为保护应用程序安全的基本要求。
简短的逃脱
Escape 是一家专注于应用程序网络安全和自动攻击安全的初创公司。该公司正在开发一个能够模拟网络攻击的平台,以识别应用程序漏洞并帮助团队纠正它们。
该公司的创立者是 特里斯坦·卡洛斯 和 安托万·卡罗西奥,分别是首席执行官和首席技术官。启动来自于程序 Y组合器 最初专注于使用人工智能保护应用程序编程接口(API)。
有了这笔新资金 A 轮融资 1500 万欧元领导者为 鲍德顿资本 的参与不相关的企业, 虹膜 和 Y组合器该公司计划加快工程师招聘,并加强致力于自动化入侵测试的人工智能代理的开发。
