Este mes no podíamos dedicar la newsletter de Secur0 a otro tema que no fuera la IA aplicada al bug bounty. Hace apenas tres semanas, Alias Robotics presentó Cybersecurity AI (CAI) una IA “lista” para el Bug Bounty.

“En 2028, la mayoría de las acciones de ciberseguridad serán autónomas, con humanos teleoperando.”

Así empieza el paper de CAI, con una declaración ambiciosa—y para muchos, cuestionable— que ha provocado revuelo entre varios profesionales del bug bounty y pentesting con los que hemos hablado desde Secur0. Según esta publicación en LinkedIn de Endika Gil Ugarte, CEO de Alias Robotics, esta predicción se basa en estimaciones de Gartner. Sin embargo, el paper no proporciona datos concretos que respalden dicha afirmación.

La importancia del Open Source

CAI es la primera solución open source en un mercado marcado por el secretismo en torno a la eficacia real de estas IAs. A diferencia de soluciones closed source como XBOW, Zeropath, Pentest Copilot, Runsybil, Zynap, Terra o Staris, que no permiten acceso al código y ofrecen poca transparencia sobre cómo funcionan, se agradece que desde Alias Robotics hayan decidido hacer a CAI de código abierto. Esto no solo hace que CAI siga mejorando por los cambios propuesto por la comunidad, sino que también nos da la oportunidad de entender de verdad cómo funciona una IA diseñada para buscar vulnerabilidades.

Principios éticos detrás de CAI

Alias Robotics deja muy claro los dos principios éticos detrás de CAI, que son democratizar la IA de ciberseguridad y asegurar la transparencia en las capacidades de seguridad de la IA. Además, mencionan repetidamente en el paper que uno de sus objetivos es eliminar los “lock-in“ impuestos por las plataformas de Bug Bounty más dominantes como Hackerone o Bugcrowd, permitiendo que medianas y pequeñas empresas tengan acceso a una seguridad comparable a la que ofrecen estos programas.

Aunque actualmente están muy lejos de conseguir este objetivo (y CAI chupe muchos tokens 😉), desde Secur0 compartimos esta misma visión. Nos alegra ver que hay otras empresas trabajando en solucionar este problema desde otro enfoque completamente diferente.

Europa vs Estados Unidos, 2,5M€ vs 20M$

El proyecto CAI ha recibido 2,5 millones de euros del Consejo Europeo de Innovación y el coste estimado del proyecto es de 3,5 millones, mientras que XBOW su competidor más conocido ha levantado 20 millones de dólares en una ronda liderada por Sequoia Capital.

La diferencia actual entre ambas empresas es considerable, 36 vulnerabilidades validadas en Hackerone por XBOW frente a 1 por CAI. Además, XBOW es totalmente privado, mientras que CAI es open-source.

¿Interesados en la parte técnica?

Desde Secur0 creemos que aún estamos lejos de ver una IA al nivel de un bug hunter. Dicho esto, estamos ilusionados de ver como mejora CAI, y ojalá llegue a convertirse en una herramienta utilizada por miles de hunters y pentesters. Os animamos a probarla y formar vuestra propia opinión.

• Paper

• Github

• Discord de CAI y ya que estamos Discord de Secur0 😉

🇪🇸 Innovación española

Si alguno no lo sabe, Alias Robotics es una empresa española con sede en Vitoria, y nos parece fundamental enseñar que en España también hay innovación en IA. Porque sino, luego nos pensamos que todo tiene que pasar en EE. UU. (además, así tienen algo que regular los 80 trabajadores de AESIA 😉).

Como comentamos antes, desde Secur0 nos alegra ver una empresa española intentar solucionar los problemas actuales de las plataformas de Bug Bounty y apoyaremos en todo lo posible su desarrollo.

Me encantaría saber tu opinión sobre CAI y la IA aplicada al bug bounty en general. Te leo por correo.

javier@secur0.com