Inside the Rise of Autonomous AI Hackers: XBOW's Oege de Moor

[00:00] Продолжение следует... [00:02] Спасибо. [00:15] Human hackers used OpenAI and Anthropic, [00:19] как помощь, чтобы получить большую датабриджу. [00:24] Что я хочу поговорить с вами сегодня, [00:27] Другая задача, которая делает все работы, [00:32] без помощи человеческой помощи. [00:36] Ситуация в цифре сегодняшнего дня в Казахстане в 1575 году в Japan. [00:44] В этом видео, на лево-морайке, находится армия Ода-Нобунага. [00:49] Нобунага был угрозом, он был угрозом, но он считал войну как системы для оптимизации. [00:56] И в этом случае он использовал самые последние оружия, самые последние оружия. На правой стороне есть Тakedа Клан. [01:05] Это так, хитриклайн, вовс... [01:08] Очень известный, и их кавалрии были считаны инвинцией. [01:13] Они очень много знаменитых вооружений. [01:16] которые уничтожили свои skills в боях. [01:24] Но представьте, кто победил. [01:27] Ситуация в цифровой секретаре будет точно так же. Ваши сайтов будут победить.

[01:33] Субтитры сделал DimaTorzok [01:45] Бинг Имиджерч, one of the best secured systems in the world, very well secured by... [01:51] the engineers at Microsoft, but also hammered by thousands of hackers from all over the world trying to get in. [01:58] A remote code execution vulnerability. The very worst kind of vulnerability where you can run arbitrary code on the target system. Complete takeover. [02:10] This vulnerability was found by the product of my company, Expo. [02:14] и только импутом нужны [02:17] was the URL. [02:19] Ничего еще. И сто? [02:22] $3,000. [02:23] А от лист price, that's not what it costs us. [02:26] So it's fast, it's cheap [02:30] и очень эффективно. [02:32] The way Expo works is very much like a human hacker. It starts by reconnaissance, it sends out a bunch of scouts, agents that discover the attack surface. [02:42] It prioritizes what endpoints look most juicy, most promising for an attack, and then it goes in and tries every... [02:49] Реалевант атака. [02:51] Despite evidence like this, many human security researchers believe that it's impossible to [02:58] для полностью, автономно-пределения этой задачи.

[03:03] с машиной. [03:05] Возвращение к септитам, уже в последний год, моя компания ввела Антаркс. [03:10] Продолжение следует... [03:29] Внутри несколько недель [03:31] Экспо 1 became the number one hacker in the United States, and then in August it became the number one hacker in the world. [03:38] И я хочу сказать, что это полностью черный тест, это просто как у меня был пример, я уже говорил. [03:44] Вы только даете URL. [03:46] Nothing else. The AI does the work completely autonomously. And that was back in August. The foundation models that we are building on have enormously progressed since then. This is on a set of... [04:00] open source real web applications. These are not so Mickey Mouse cyber benchmarks. And we started back in March last year [04:10] Сонно 3.7, и тогда это достигает на топ-либо, с помощью альфа. [04:16] Сонот-40 и Gemini-25. Я не могу сказать, что я не могу сказать, что я вам рассказываю о аллоисе. Таким образом, как эти атакты, как их секвенциал, и все это. [04:29] Вы flipаете на койте, чтобы выбрать, что модель нужно. [04:32] Адже Арс-Демини, или Арс-Сонет?

[04:35] Это гораздо лучше чем один модель, а это как пара программирования. [04:42] или компенсирует за ошибки. [04:44] Так... [04:46] Then shortly after Expo topped the HackerOne leaderboard, GPT-5 came out. [04:51] Just extrapolating from its performance, it would have done at least three times better. So in August, X-Ball was a little bit better than the best human on HackerOne. [05:03] В GPT-5 это было три раза больше. [05:08] И, с этим, все модели только лучше, и, как вы видите, [05:14] Мы лучше собираемся найти в бенчмарках, потому что это очень высоте. [05:18] Как вы думаете о том, в отношении к масштабам? [05:23] Майфаз has been [05:25] Это, как и в основном, было показано, что это инструмент, что читает в source code очень хорошо и показывает потенциальные флоры в кодеке. [05:36] Это не так, как я говорил о том, что это не так, как я говорил о том, что это не так. [05:41] Пурили-black-box testing, you actually have access to the source code, which of course is a different way you do. [05:46] Но как атака, вы не сильно не сможете. [05:49] Спасибо. [05:51] The question with this code analysis stuff is: [05:55] Are the weaknesses actually exploitable in the world? And if they are exploitable, does it matter? What's the impact? Where can I go if I can... [06:03] Я могу делать ремо-косеркьюси на бинг-сервер,

[06:08] Where else can I get to? I can't tell you. [06:13] И, конечно, есть много других проблем, которые у нас есть в сфере или в сфере проблемы проблемы. Вы не можете вообще использовать их. [06:21] So these are the questions that XBO answers for you. [06:26] Спасибо. [06:26] Спасибо. [06:28] Если вы узнаете об этой эксплуатации, то это уже уже слишком много лет. Так что, обычно, например, для Bing, люди publishи в СССР, [06:39] чтобы позволить мирно знали, что там есть влияние. [06:43] В 2018 году [06:45] Делай между публикой о СВИИ и беда эксплуатирования в мире было почти 2.5 лет. [06:56] Сегодня, это номер сегонога. [06:58] Для большинства СВЕ [07:00] Это уже будет использованным, пока что СВИА-Строизводится. [07:06] Продолжение следует... [07:08] В результате этого, это неизвестное для меня, что когда есть новость о А.И. и секретаре, [07:15] Традиционные цифер-секурицы падают. [07:18] Это не имеет смысла. Мы нужны все возможное защитное, что мы можем получить против этих автономной AI-проводных attacks. [07:27] So, so far I've been preaching like Nostradamus, telling you about all the bad things that might happen. So let's try and rally the spirit of Nobunaga, what Japanese warren I talked about at the beginning.

[07:40] и посмотрим, что можно сделать. [07:42] Итак, первое, [07:43] Все, кто работает на модели Frontier [07:47] You must maximize the cyber capabilities. No more talk about whether it's safe to do that or not. [07:52] Мы в армст's waistе, мы должны быть уверены, что мы имеем в очень лучшие модели. [07:57] это степень работы. [07:59] Другой, [08:01] Мы должны позволить университет сотрудников, чтобы использовать это как экстенциал их в своем работе, чтобы максимально найти chances, чтобы найти все vulnerabilities. [08:12] Before the bad guys do. [08:13] И, наконец, нужно приоритет с методом. Нужно знать, что бugs действительно exploitable, и что их влияние будет. И Экспо может помочь с этим. [08:25] Мы получили около 6-9 месяцев. [08:28] Добавил субтитры DimaTorzok [08:30] Just extrapolating from the progress with software engineering agents, [08:37] В 6-9 месяц мы будем делать open weight models that are just as good. [08:42] Майфорс и символы моделям. [08:45] И если вы хотите иметь... [08:48] а nice Thanksgiving dinner with your family. [08:51] Вы лучше начали решать сейчас. [08:54] Спасибо.