Connect with us

Rozhovory

Kara Sprague, CEO of HackerOne – Interview Series

mm
Published
Updated

Kara Sprague, CEO of HackerOne, je zkušený technologický manažer s více než dvěma desetiletími zkušeností ve vedení produktů, generálním managementu a strategickém poradenství v oblasti softwaru a bezpečnosti. Do funkce CEO nastoupila v listopadu 2024 po výkonu senior pozic ve společnosti F5, včetně pozice výkonného viceprezidenta a chief product officer, kde vedla významné produktové a platformové iniciativy, jakož i dřívější generální manažerské role, které dohlížely na velké podniky. Předtím strávila více než deset let jako partner ve společnosti McKinsey & Company, kde radila vedoucím technologickým společnostem v oblasti růstu a strategie, a zahájila svou kariéru jako technický pracovník v Oracle. Kromě své role v HackerOne také působí v dozorčí radě společnosti Trimble Inc.

HackerOne je kybernetická bezpečnostní společnost, která je nejznámější díky své průkopnické činnosti v oblasti zabezpečení založeného na hackerech, propojující organizace s globální komunitou etických hackerů za účelem identifikace a odstranění zranitelností, než mohou být zneužity. Platforma podporuje podniky a vlády prostřednictvím programů bug bounty, zveřejňování zranitelností, penetračního testování a bezpečnostních testovacích služeb, které kombinují lidskou odbornost s automatizovanými a AI řízenými pracovními postupy. Přechodem zabezpečení z reaktivního na proaktivní model se HackerOne stal kritickou součástí moderního aplikačního zabezpečení pro organizace, které se snaží snížit rizika a zlepšit odolnost ve velkém měřítku.

Vstoupila jste do role CEO v HackerOne v listopadu 2024 po desetiletích vedení napříč F5, McKinsey, Oracle a dalšími významnými technologickými organizacemi. Co vás přimělo k přijetí této výzvy v tomto stádiu své kariéry, a jaké byly první priority, které jste nastavila, když jste začala vést společnost?

Celou svou kariéru jsem strávila na rozhraní technologie, strategie a rizika, pomáhající organizacím navigovat v okamžicích, kdy jsou sázky vysoké a prostředí se rychle mění. To, co mě přimělo k HackerOne, je to, že jsme právě na takovém inflekčním bodě, protože AI mění kybernetickou bezpečnostní krajinu.

Bezpečnost již není funkcí back-office – je to hlavní hnací síla důvěry, odolnosti a obchodního tempa. Podniky nyní operují na hluboce propojených systémech, konstantních toků dat a automatizovaného rozhodování v nebývalém měřítku. AI urychluje inovace, ale také zavádí nové spoje, závislosti a režimy selhání, které tradiční bezpečnostní modely nebyly navrženy k zvládnutí.

To je důvod, proč mise HackerOne tolik záleží právě teď. Naší misí je pověřit svět k vybudování bezpečnějšího internetu, a ve světě poháněném AI je tato mise nikdy nebyla naléhavější. HackerOne je odlišný, protože kombinuje globální komunitu lidských bezpečnostních výzkumníků s platformní inteligencí, aby nalezla a opravila zranitelnosti, než je mohou útočníci zneužít. Tento model s lidskou účastí není pouze odlišný – je nezbytný.

Od prvního dne jsem se zaměřila na tři priority: rozšíření našich agentních platformních schopností, investice do naší výzkumné komunity a prohloubení důvěry se zákazníky a partnery. To znamená škálovat AI red teaming, vyvíjet Hai z copilota na koordinovaný tým AI agentů, kteří pomáhají organizacím kontinuálně priorizovat, ověřovat a odstraňovat rizika rychleji, a spuštění HackerOne Code pro zajištění softwaru dříve ve vývojovém cyklu. Dnes více než 90 % našich zákazníků používá Hai k urychlení své práce na ověření a opravě zranitelností.

Krajina se vyvíjí rychle, ale náš zaměřený cíl je stálý: omezit riziko, než vás definuje. U HackerOne to znamená učinit bezpečnost kontinuální, praktickou a vytvořenou pro tempo moderní inovace.

HackerOne zaznamenal 200% nárůst penetračního testování a AI red teaming a strategický posun směrem k kontinuálnímu managementu hrozby. Jak tyto trendy mění vaši dlouhodobou vizi pro společnost, a co tento trend signalizuje o budoucnosti podnikové bezpečnosti?

To, co vidíme, není špička – je to reset. 200% nárůst penetračního testování a AI red teaming potvrzuje, že bezpečnost v jednom bodě času prostě nemůže držet krok s tím, jak rychle se moderní podniky mění.

Tato realita formuje naši dlouhodobou vizi kolem kontinuálního managementu hrozby napříč celým životním cyklem – od kódu a cloudu po AI systémy. Když AI urychluje jak inovace, tak útočnou rychlost, výzvou není najít zranitelnosti; je to prokázat, co je využitelné, priorizovat to, co má největší význam, a opravovat to rychle. Budujeme platformu, která kombinuje kontinuální testování, autonomní ověření, inteligentní priorizaci a lidskou odbornost, aby to udělala.

Pro lídry podniků je signál jasný: bezpečnost se stává kontinuální obchodní disciplínou, ne periodickým auditem. Společnosti, které budou vynikat, budou ty, které identifikují riziko dříve, budou jednat rychleji a omezí expozici, než se stane obchodním problémem. Tento posun definuje budoucnost podnikové bezpečnosti.

Jak váš AI systém Hai integruje do pracovního postupu objevování zranitelností, a kde poskytuje největší přínos pro výzkumníky a zákazníky?

Hai je koordinovaný tým AI agentů vestavěný přímo do pracovního postupu managementu zranitelností, aby kontinuálně analyzoval a kontextualizoval nálezy, aby pomohl organizacím priorizovat, ověřovat a odstraňovat rizika rychleji. Funkční je napříč životním cyklem zprávy, působí jako násobitel síly pro obránce, když objemy rostou a hrozby se stávají složitějšími.

Hai poskytuje největší přínos tím, že prořezává hluk. Zlepšuje triáž a pochopení shrnutím zpráv, identifikací vzorců, ověřením nálezů a zvýrazněním problémů, které jsou nejpravděpodobněji důležité. Naše výzkumy ukazují, že 20 % uživatelů ušetří 6 až 10 hodin každý týden, což zkracuje cestu od detekce k jistému odstranění.

Výzkumníci také profitují. S více než polovinou z nich, kteří nyní používají AI nebo automatizaci ve své práci, Hai pomáhá produkovat silnější důkazy, jasnější vysvětlení a konzistentnější ověření.

Jaké nové kategorie zranitelností se objevily za poslední rok, když podniky přijímají AI více agresivně napříč svými softwarovými stacky?

Když se AI stává zabudovanou napříč produkty a pracovními postupy, vidíme nové kategorie zranitelností, které se objevují ve významném měřítku. V naší poslední zprávě o zabezpečení založeném na hackerech se platné zprávy o zranitelnostech AI zvýšily o 210 % meziročně a téměř 80 % CISO nyní zahrnuje AI aktiva do rozsahu bezpečnostního testování. Prompt injection byl nejviditelnější, zvýšil se o více než polovinu meziročně, a zůstává jedním z nejčastějších způsobů, jak útočníci ovlivňují chování modelu. Také vidíme růst v manipulaci modelu, nezabezpečeném zpracování výstupu, otrávení dat a slabostech spojených s trénovacími daty a řízením reakcí.

Co činí tato rizika zvláště důslednými, je to, že neovlivňují pouze systémy – ovlivňují rozhodnutí, pracovní postupy a důvěru zákazníků. AI zavádí cesty selhání, které tradiční testování plně nepokrývá. Když se tyto systémy nasazují do produkce a stávají se operačně kritickými, vyhrazené a kontinuální bezpečnostní testování AI se bude stále více stávat centrálním pro podnikové bezpečnostní programy.

Naše přístup spojuje AI poháněnou automatizaci pro škálování objevování a detekci vzorců s lidskou odborností, aby odhalila jemné selhání, novou slabost a reálný dopad – umožňující obráncům operovat ve stejném tempu a měřítku jako útočníci.

Jak udržujete důvěru, kvalitu a spravedlnost, zatímco také rozvíjíte své závazky k rozmanitosti a inkluzi across tak velké crowd-powered ekosystému?

Důvěra je základem modelu zabezpečení založeného na crowd, a musí být budována úmyslně, když komunita roste.

Naše komunita se skládá z ověřených bezpečnostních výzkumníků, kteří spolupracují se zákazníky na identifikaci, ověření a pomoci při odstranění reálných zranitelností napříč širokým spektrem technologií.

Udržujeme kvalitu a spravedlnost kombinací platformní inteligence s lidským dohledem – ověřováním nálezů, vynucováním jednotných pravidel zapojení, a odměňováním výzkumníků na základě dopadu, ne na základě pozadí, geografie nebo seniority. Systémy reputace, transparentní triáž a konzistentní modely odměn vytvářejí odpovědnost na obou stranách trhu.

Jsme hluboce investováni do úspěchu výzkumníků. Prostřednictvím zaškolení, školení a jasných růstových cest pomáháme novým výzkumníkům budovat dovednosti a důvěryhodnost. Za posledních šest let 50 výzkumníků vydělalo více než 1 milion dolarů každý na naší platformě – silný signál jak kvality práce, tak férovosti modelu.

Rozmanitost a inkluze nejsou samostatnými iniciativami; jsou jádrem síly ekosystému. Bezpečnostní výzvy jsou globální, a rozmanité perspektivy odhalují různé útočné cesty a slepá místa. Výsledkem je důvěryhodná, vysoce výkonná komunita, která se stává silnější – ne fragmentovanější – když roste.

Jaké záruky má HackerOne zavedeny, aby zajistil, že AI asistované objevování zranitelností zůstává zodpovědné a vyhýbá se zkreslení nebo zneužití?

Na naší platformě jsou AI agenti navrženy tak, aby zlepšovaly jasnost, ověřovaly nálezy a urychlovaly odstranění – zatímco lidé zůstávají odpovědní za rozhodnutí kolem akceptace, závažnosti a reakce.

Držíme se stejných standardů, které očekáváme od zákazníků. Používáme naše AI schopnosti interně, neustále je testujeme v reálných pracovních postupech, a odměňujeme naši výzkumnou komunitu za identifikaci vysokého dopadu zranitelností v našich vlastních řešeních. To vytváří těsnou zpětnou vazbu, aby se objevilo zkreslení, nekonzistence nebo zneužití brzy.

Když se AI stává více zabudovanou do bezpečnostních operací, naším cílem je nastavit laťku, které týmy mohou důvěřovat – založenou na transparentnosti, kontinuálním testování a lidské odpovědnosti.

120% nárůst nálezů zranitelností a odměn naznačuje významné posuny v hrozbě krajiny. Jak interpretujete to – jako pokrok v detekci nebo jako znamení, že podnikový software se stává riskantnějším?

Je to obojí – a to je ten bod.

Nárůst odráží skutečný pokrok v detekci. Výzkumníci odhalují více akčních, vysoce kvalitních slabostí, a zvýšené odměny ukazují, že podniky si cení odhalení a odstranění skutečného rizika. Více nálezů automaticky neznamená, že software je riskantnější – znamená to, že expozice je konečně viditelná.

Současně se podnikový software stává složitějším a propojenějším. AI, závislosti třetích stran a rychlejší cykly vydání rozšiřují útočnou plochu rychleji, než tradiční kontroly byly navrženy k zvládnutí.

Závěr je jednoduchý: riziko je dynamické, a bezpečnost musí být také. Nejodolnější organizace předpokládají, že expozice je nevyhnutelná, a soustředí se bezúnavně na opravu toho, co skutečně záleží.

Co považujete za největší výzvu pro crowdsource bezpečnostní platformy v příštích letech, když se AI stává více schopnou?

Největší výzvou v jakékoli bezpečnostní platformě je udržet signál a důvěru, když rychlost a měřítko rostou.

Když AI snižuje bariéru objevování, platformy uvidí nárůst objemu z automatizovaných a hybridních pracovních postupů. Riziko není příliš málo nálezů – je to hluk, který přehlušuje zákazníky a nesoulad odměn, který eroduje důvěru.

Platformy, které uspějí, budou ty, které ověří využitelnost, priorizují dopad a sladí odměny s výsledky – zatímco udržují silné řízení a lidskou odpovědnost. Budoucnost není o nalezení více problémů; je o nalezení správných problémů rychleji a převodu vhledu do akce, než mohou vzniknout obchodní problémy.

Předpokládáte, že HackerOne expanduje za hranice objevování zranitelností do oblastí, jako je kontinuální monitoring, AI poháněné odstranění nebo prediktivní modelování hrozeb?

Naše zaměření je na řešení základního problému, se kterým se podniky potýkají: porozumění a omezení skutečného rizika v kontinuálně se měnících prostředích.

To přirozeně znamená přesunutí se za hranice objevování v jednom bodě času. Již operujeme napříč životním cyklem expozice, od kódu a AI red teaming až po ověření a priorizaci, a budeme pokračovat ve investicích do schopností, které pomáhají zákazníkům vidět expozici dříve, pochopit dopad rychleji a vést odstranění k uzavření.

AI hraje centrální roli v této evoluci – zejména v priorizaci a urychlení pracovních postupů – ale vždy s lidskou odpovědností v centru. Naším severním hvězdným cílem je kontinuální, praktické zabezpečení, které drželo krok s moderní inovací.

Jak HackerOne plánuje zůstat před útočníky, když se tito stále více adaptují na AI?

Zůstáváme před našimi útočníky tím, že operujeme tam, kde se objevují skutečné útoky. Naše globální výzkumná komunita již testuje AI umožněné techniky proti živým prostředím, což nám dává ranou viditelnost do toho, jak útočníci skutečně operují.

Kombinujeme lidskou vhled s AI poháněnou automatizací, aby škálovala objevování, ověření, priorizaci a odstranění. Stejně důležité je, že neustále testujeme naši vlastní platformu pomocí stejných AI red teaming přístupů, které nabízíme zákazníkům.

Cílem není předpovědět každý nový útok – je to vybudování systému, který se učí rychleji, než útočníci. To je způsob, jakým se defenzivní nástroje drží v AI poháněné hrozbě krajiny.

Děkuji za skvělý rozhovor – čtenáři, kteří si chtějí dozvědět více o tom, jak společnost používá lidskou odbornost a AI poháněné zabezpečení, aby pomohla organizacím identifikovat a omezit skutečné riziko, než se stane obchodním problémem, mohou navštívit HackerOne.

Related Topics:
mm

Antoine je vizionářský líder a zakládající partner Unite.AI, poháněný neotřesitelnou vášní pro formování a propagaci budoucnosti AI a robotiky. Jako sériový podnikatel věří, že AI bude mít na společnost stejně disruptivní vliv jako elektřina, a často je chycen při tom, jak hovoří o potenciálu disruptivních technologií a AGI. Jako futurist, je zasvěcen prozkoumání toho, jak tyto inovace budou formovat náš svět. Kromě toho je zakladatelem Securities.io, platformy zaměřené na investice do špičkových technologií, které předefinovávají budoucnost a mění celé sektory.