AI黑客登顶全球漏洞赏金平台，AI智能体驱动的自动化攻防来了

近期，AI黑客公司XBOW宣布其正式登上了全球最大的漏洞赏金平台HackerOne的2025年美国区黑客排行榜第一名，并获得7500万美元的新融资。媒体们称这是现实世界第一次AI黑客在与人类黑客的竞争中取得重大胜利。

近一年多来朱雀实验室基于AI Agent构建的蓝军Bot也在内部安全演习中持续发光发热，与XBOW等面向公开漏洞赏金平台的AI黑客不同，我们的目标是解决企业安全攻防实战中的核心矛盾：如何在有限的蓝军专家资源下，高效、高质量地完成日益繁重的业务安全演习。本文结合朱雀实验室对XBOW的剖析，分享了我们在利用AI Agent提升安全演习效率上的迭代思路、实践成果与未来规划。目前我们正在持续招聘中，欢迎对AI安全攻防与AI赋能安全感兴趣的安全研究员加入。

一、 XBOW剖析：登顶HackerOne背后的技术亮点与质疑

XBOW于2024年1月创立，核心团队来自GitHub在2019年收购的代码漏洞检测公司Semmle，曾发布过 CodeQL 、GitHub Copilot等明星产品。XBOW主打的是AI驱动的自主渗透测试，也就是让AI像人类黑客一样发现并利用系统安全漏洞，最终成功渗透企业内部网络。

在2025年上半年，XBOW通过HackerOne累计报告了1000多个漏洞，其中包含迪士尼、亚马逊、索尼等知名厂商，漏洞类型包含XSS、SQL注入、RCE、XXE、路径遍历、SSRF、信息泄露、缓存中毒、密钥泄露等。最终成功登顶HackerOne美国区第1，全球排名第12，吊打一众职业挖洞的黑客。

虽然XBOW以技术机密为由，一直没有公开产品的技术原理或开放产品体验，但结合官网发布了多个漏洞案例与公开信息，我们尝试还原了XBOW的一些核心技术架构与能力。

总的来说XBOW更像是在成熟的静态代码审计和动态安全验证体系上构建的一个黑客智能体，让AI通过执行命令和调用工具来完成渗透流程的关键环节，在XSS这类有着非常明确的漏洞模式的场景上效果不错，但在越权等业务逻辑漏洞场景表现并不佳，当前并没有达到官方宣称的100%AI自主渗透，甚至还有一定的刷分与AI含量注水嫌疑，但相比当前的人类安全专家XBOW可7*24小时并行运转，在效率上有非常大的提升，对企业安全团队来说是仍然一个非常有参考价值的学习案例。

1.1 静态与动态分析融合的攻击面感知

XBOW架构的核心是多模态信息融合，构建了一个能同时处理代码、网络和文件系统数据的统一分析框架。在静态分析维度，系统集成了源代码解析器和二进制反编译器，以深入理解应用的技术栈和潜在攻击面。

如上图 自动反编译Jar包，通过grep快速定位与提取潜在的API代码。

此外动态测试引擎的核心是一个自适应请求生成器，能根据目标应用的响应动态调整测试Payload。而连接静态与动态分析的关键是知识图谱推理引擎，它将代码中发现的潜在漏洞与动态可访问的端点关联起来，形成完整的攻击路径。

如上图 XBOW可通过HTTP响应内容推断后端框架，或从错误信息中提取版本细节。

1.2 基于漏洞模式与利用技术的安全知识库

支撑XBOW决策的是其领域专用知识库，该知识库结构化地存储了安全漏洞知识，包括漏洞类型特征库、攻击技术方法库和防御机制绕过策略库。其中攻击技术库详细记录了各类漏洞的Payload生成规则，最具创新性的是防御机制绕过策略库，它存储了针对waf与常见安全过滤与检测策略的突破方法。

如上图所示案例 （CVE-2024-52598): 在开源项目2FAuth中，XBOW发现一个潜在SSRF漏洞，但目标接口要求请求头MIME类型为image/svg且请求路径后缀为svg文件，在多次请求失败后，XBOW通过知识库中的PHP URL解析混淆技术，在内网链接后添加?type=image/svg+xml%23.svg。利用PHP解析时会忽略#后内容的特性，成功绕过MIME验证，读取到内网文件。

1.3 通过强化学习决策实现自主探索与策略优化

官方称XBOW的自主性源于其深度强化学习（DRL）决策框架。该框架将漏洞发现过程建模为马尔可夫决策过程（MDP），通过与环境交互不断优化其测试策略。在复杂的漏洞测试中，这种学习机制表现为多阶段攻击链的构建能力，系统能根据中间结果动态调整探索方向，优先测试成功率更高的路径。

如上图案例 (CVE-2025-0133): 在测试Palo Alto某VPN应用时，某API返回了<has-config>no</has-config>，多数黑客可能会就此放弃认为是一个普通的请求配置文件接口。但XBOW推理认为，VPN服务常在HTTP请求中携带额外参数。于是，它自主构建了一个包含潜在参数（如prelogin-cookie）和XSS Payload的测试脚本，通过fuzzing最终发现portal-prelogonuserauthcookie参数存在XSS漏洞。对人类专家而言，这需要更长的思考和编码验证时间。

1.4 XBOW的“刷分”与自主性疑问

尽管XBOW展现了强大的自动化能力，朱雀实验室在深入分析后还是发现其在真实场景的应用效果和“AI自主性”还存在诸多疑点。

目前XBOW在HackerOne的美国黑客排行榜第1，全球排行榜第12，但是我们分析发现，XBOW很巧妙的利用了一些平台的规则漏洞。Hackerone项目分BBP（有赏金）和VDP（类似于公益SRC，没有赏金）两大类，BBP的项目在白帽子中竞争是非常激烈的，而VDP的参与人数寥寥无几，Hackerone计算总排行榜时是将这两类项目合并计算，实际XBOW主要刷的还是VDP项目（全球第2），而非难度与奖金更高的BBP（全球第36）。

其次，XBOW在2025年获得的5542个声誉积分（截止7月4号，后同）中，有3035个声誉积分（约55%）是XSS漏洞贡献的（其中VDP占2024积分），这类漏洞在国内SRC中通常评级为中低危漏洞，且使用传统扫描器也能批量挖掘。所以我们认为XBOW的超高XSS漏洞占比产出背后其实也有一定的刷分嫌疑。

此外XBOW在身份认证不当（如越权）、未授权访问、不安全配置等业务逻辑强相关的风险类别中均未进入50名，这些传统漏洞扫描器难以全面检测与准确评估危害等级的风险，正常应该是AI有机会做出差异化并大展拳脚，XBOW却表现不佳，所以我们也推测XBOW的”AI含量“可能存在注水。XBOW的创始人Oege de Moor也曾公开承认过XBOW在这方面的不足，但对于企业安全团队来说这些业务逻辑漏洞往往是需要重点挖掘的。

与此同时我们也留意到了技术社区对XBOW提出了一些尖锐且关键的质疑，而这些问题至今未得到官方解答。

例如，有网友直接问道：“XBOW团队究竟需要人工审查多少个漏洞，才能提交出那大约1000个‘有效’的报告？”以及“这些被审查的漏洞中，最终被证实为真实漏洞的百分比是多少？” 。这些关于误报和人工审核工作量的问题，是评估XBOW真实自主性和运营成本的关键。

朱雀实验室在XBOW官方公开的一份粗略的HackerOne提交数据图表中看到，在2025年XBOW的1060份漏洞报告中，有453份被hackerone标记为“重复（有人报过了厂商还没修复）”、“信息性（危害过低）”或“不适用（无法复现）” ，这部分实际不被厂商认可的报告占总数的43%。此外仅有130个漏洞已确认并发放奖金，303个漏洞已验证成功但厂商还未完成所有处置流程，有33个漏洞被标记为新报告处理中，125个漏洞提交后待厂商处理。这些数据代表着XBOW可能生成了海量低质量（无效、无实际危害、重复）漏洞报告，在实际场景中可能需要大量安全专家配合进行二次验证分析。

二、未来展望：从周期性演习到持续性验证

朱雀实验室认为，当前AI与顶尖安全专家的核心差距，在于能否理解复杂的业务逻辑、能否进行跳跃性的攻击链联想。就像XBOW在基础Web漏洞上所向披靡，但在需要深度业务理解的逻辑漏洞上依然乏力，目前阶段还没有看到真正的自主渗透AI黑客出现。

不过我们从企业安全团队实战角度看，AI Agent的首要问题不是立刻实现100%自主渗透这一目标，而是利用其7×24小时的自动化能力，将人类安全专家从海量的、重复的基础漏洞挖掘中彻底解放出来。

● AI Agent负责广度：高效、持续地扫描已知攻击模式，完成基础性、大范围的覆盖。

● 安全专家聚焦深度：专注于处理AI筛选出的高价值情报，致力于业务逻辑、0-day漏洞及创新攻击手法的研究。

这种人机协同的新模式下，安全演习将从“周期性人工项目”演进为“AI驱动的持续性验证”，帮助企业安全团队更高效的提前收敛业务风险与防御体系盲区。