Kara Sprague, administrerende direktør for HackerOne – Interviewserie

Kara Sprague, administrerende direktør for HackerOne, er en erfaren teknologichef med mere end to årtiers erfaring inden for produktledelse, generel ledelse og strategisk rådgivning på tværs af software- og sikkerhedssektoren. Hun tiltrådte rollen som administrerende direktør i november 2024 efter at have haft ledende stillinger hos F5, herunder som Executive Vice President og Chief Product Officer, hvor hun ledede store produkt- og platforminitiativer, samt tidligere general manager-roller med ansvar for store virksomheder. Før F5 tilbragte hun over et årti som partner hos McKinsey & Company, hvor hun rådgav førende teknologivirksomheder om vækst og strategi, og begyndte sin karriere som teknisk medarbejder hos Oracle. Ved siden af ​​sin rolle hos HackerOne sidder hun også i bestyrelsen hos Trimble Inc.

HackerOne er en cybersikkerhedsvirksomhed, der er bedst kendt for at være banebrydende inden for hackerdrevet sikkerhed, og som forbinder organisationer med et globalt fællesskab af etiske hackere for at identificere og afhjælpe sårbarheder, før de kan udnyttes. Platformen understøtter virksomheder og regeringer gennem bug bounty-programmer, sårbarhedsafsløring, penetrationstest og sikkerhedstesttjenester, der kombinerer menneskelig ekspertise med automatisering og AI-drevne arbejdsgange. Ved at skifte sikkerhed fra en reaktiv til en proaktiv model er HackerOne blevet en kritisk del af den moderne applikationssikkerhedsstak for organisationer, der ønsker at reducere risiko og forbedre modstandsdygtighed i stor skala.

Du tiltrådte rollen som administrerende direktør hos HackerOne i november 2024 efter årtiers lederskab på tværs af F5, McKinsey, Oracle og andre store teknologiorganisationer. Hvad fik dig til at tage denne udfordring op på dette stadie af din karriere, og hvad var de første prioriteter, du satte, da du begyndte at lede virksomheden?

Jeg har tilbragt min karriere i krydsfeltet mellem teknologi, strategi og risiko, hvor jeg har hjulpet organisationer med at navigere i øjeblikke, hvor indsatsen er høj, og miljøet ændrer sig hurtigt. Det, der tiltrak mig ved HackerOne, er, at vi igen befinder os på præcis den slags vendepunkt, i takt med at AI omformer cybersikkerhedslandskabet.

Sikkerhed er ikke længere en backoffice-funktion – det er en central drivkraft for tillid, robusthed og forretningshastighed. Virksomheder opererer nu på dybt sammenkoblede systemer, konstante datastrømme og automatiseret beslutningstagning i hidtil uset skala. AI accelererer innovation, men den introducerer også nye sømme, afhængigheder og fejltilstande, som traditionelle sikkerhedsmodeller ikke var bygget til at håndtere.

Derfor er HackerOnes mission så vigtig lige nu. Vores mission er at give verden mulighed for at opbygge et sikrere internet, og i en AI-drevet verden har den mission aldrig været mere presserende. HackerOne er anderledes, fordi vi kombinerer et globalt fællesskab af forskere inden for menneskelig sikkerhed med platformintelligens for at finde og rette sårbarheder, før angribere kan udnytte dem. Denne "human-in-the-loop"-model er ikke bare differentieret – den er essentiel.

Fra dag ét fokuserede jeg på tre prioriteter: at udvide vores agentplatforms kapaciteter, investere i vores forskermiljø og uddybe tilliden til kunder og partnere. Det betyder at skalere AI-red teaming, udvikle Hai fra en copilot til et koordineret team af AI-agenter, der hjælper organisationer med løbende at prioritere, validere og afhjælpe risici hurtigere, og lancere HackerOne Code for at sikre software tidligere i udviklingscyklussen. I dag bruger mere end 90 % af vores kunder Hai til at accelerere deres arbejde med at validere og afhjælpe sårbarheder.

Landskabet udvikler sig hurtigt, men vores fokus er konstant: inddæm risikoen, før den definerer dig. Hos HackerOne betyder det at gøre sikkerhed kontinuerlig, praktisk og bygget til tempoet inden for moderne innovation.

HackerOne har set både en stigning på 200 % i pentesting og AI red teaming samt et strategisk skift mod kontinuerlig styring af trusler. Hvordan omformer disse tendenser jeres langsigtede vision for virksomheden, og hvad signalerer denne momentum om fremtiden for virksomhedssikkerhed?

Det, vi ser, er ikke en stigning – det er en nulstilling. En stigning på 200 % i pentesting og AI red teaming bekræfter, at point-in-time-sikkerhed simpelthen ikke kan følge med, hvor hurtigt moderne virksomheder ændrer sig.

Den virkelighed former vores langsigtede vision omkring kontinuerlig styring af trusselseksponering på tværs af hele livscyklussen – fra kode og cloud til AI-systemer. I takt med at AI accelererer både innovation og angrebshastighed, er udfordringen ikke at finde sårbarheder; det er at bevise, hvad der kan udnyttes, prioritere det, der betyder mest, og hurtigt udbedre det. Vi bygger en platform, der kombinerer kontinuerlig testning, autonom validering, intelligent prioritering og menneskelig ekspertise for at gøre netop det.

For virksomhedsledere er signalet klart: sikkerhed er ved at blive en kontinuerlig forretningsdisciplin, ikke en periodisk revision. De virksomheder, der klarer sig bedre, vil være dem, der identificerer risici tidligere, handler hurtigere og begrænser eksponering, før det bliver et forretningsproblem. Dette skift definerer fremtiden for virksomhedssikkerhed.

Hvordan integreres jeres AI-system Hai i arbejdsgangen for opdagelse af sårbarheder, og hvor giver det mest indflydelse til forskere og kunder?

Hai er et koordineret team af AI-agenter, der er integreret direkte i arbejdsgangen for sårbarhedsstyring for løbende at analysere og kontekstualisere resultater for at hjælpe organisationer med at prioritere, validere og afhjælpe risici hurtigere. Det fungerer på tværs af en rapports livscyklus og fungerer som en kraftmultiplikator for forsvarere, efterhånden som mængderne stiger, og truslerne bliver mere komplekse.

Hai leverer den største effekt ved at fjerne støj. Det forbedrer triage og forståelse ved at opsummere rapporter, identificere mønstre, validere resultater og fremhæve de problemer, der sandsynligvis vil have størst betydning. Vores forskning viser, at 20 % af brugerne sparer 6 til 10 timer hver uge. hvilket forkorter vejen fra detektion til sikker afhjælpning betydeligt.

Forskere drager også fordel af det. mere end halvdelen af ​​dem bruger nu AI eller automatisering i deres arbejde, Hai hjælper dem med at producere stærkere proof-of-concepts, klarere forklaringer og mere ensartet validering.

Hvilke nye kategorier af sårbarheder er dukket op i løbet af det seneste år, efterhånden som virksomheder bruger AI mere aggressivt på tværs af deres softwareprogrammer?

Efterhånden som AI bliver integreret på tværs af produkter og arbejdsgange, ser vi nye sårbarhedskategorier dukke op i betydelig skala. I vores seneste Hacker-Powered Security Report steg antallet af gyldige AI-sårbarhedsrapporter med 210 % år over år, og næsten 80 % af CISO'er inkluderer nu AI-aktiver i omfanget af sikkerhedstestning. Prompt injection har været den mest synlige, stigende med mere end et halvt år i forhold til året før, og er fortsat en af ​​de mest almindelige måder, hvorpå angribere påvirker modeladfærd. Vi ser også vækst i modelmanipulation, usikker outputhåndtering, dataforgiftning og svagheder knyttet til træningsdata og responshåndtering.

Det, der gør disse risici særligt betydningsfulde, er, at de ikke kun påvirker systemer – de påvirker beslutninger, arbejdsgange og kundernes tillid. AI introducerer fejlveje, som traditionel testning ikke dækker fuldt ud. Efterhånden som disse systemer implementeres i produktion og bliver mere operationelt kritiske, vil dedikeret og kontinuerlig AI-sikkerhedstest blive stadig mere centralt for virksomhedens sikkerhedsprogrammer.

Vores tilgang kombinerer AI-drevet automatisering for at skalere opdagelse og mønsterdetektion med menneskelig ekspertise for at afdække subtile fejl, nye svagheder og virkelige konsekvenser – hvilket giver forsvarere mulighed for at operere med samme hastighed og skala som angribere.

I takt med at det globale forskermiljø vokser, hvordan opretholder I så tillid, kvalitet og retfærdighed, samtidig med at I fremmer jeres engagement i mangfoldighed og inklusion på tværs af et så stort, crowd-drevet økosystem?

Tillid er fundamentet for en crowd-powered sikkerhedsmodel, og den skal opbygges bevidst i takt med at fællesskabet skaleres. For os starter det med klare standarder, ensartede incitamenter og stærk styring.

Vores fællesskab består af godkendte sikkerhedsforskere, der samarbejder med kunder for at identificere, validere og hjælpe med at afhjælpe virkelige sårbarheder på tværs af en bred vifte af teknologier.

Vi opretholder kvalitet og retfærdighed ved at kombinere platformintelligens med menneskeligt tilsyn – validerer resultater, håndhæver ensartede regler for engagement og belønner forskere baseret på effekt, ikke baggrund, geografi eller ansættelse. Omdømmesystemer, transparent triage og ensartede udbetalingsmodeller skaber ansvarlighed på begge sider af markedet.

Vi er dybt investeret i forskeres succes. Gennem onboarding, træning og klare vækstveje hjælper vi nye forskere med at opbygge færdigheder og troværdighed. I løbet af de sidste seks år, 50 forskere har hver tjent mere end 1 million dollars på vores platform — et stærkt signal om både arbejdets kaliber og modellens retfærdighed.

Mangfoldighed og inklusion er ikke separate initiativer; de er centrale for økosystemets styrke. Sikkerhedsudfordringer er globale, og forskellige perspektiver afslører forskellige angrebsveje og blinde vinkler. Resultatet er et pålideligt og højtydende fællesskab, der bliver stærkere – ikke mere fragmenteret – efterhånden som det vokser.

Hvilke sikkerhedsforanstaltninger har HackerOne indført for at sikre, at AI-assisteret opdagelse af sårbarheder forbliver ansvarlig og undgår bias eller misbrug?

På tværs af vores platform er AI-agenter designet til at forbedre klarheden, validere fund og fremskynde afhjælpning – mens mennesker forbliver ansvarlige for beslutninger omkring accept, alvor og reaktion.

Vi stiller de samme standarder, som vi forventer af vores kunder. Vi bruger vores AI-funktioner internt, tryktester dem løbende i virkelige arbejdsgange og belønner vores forskermiljø for at identificere sårbarheder med stor indflydelse i vores egne løsninger. Det skaber en tæt feedback-loop, der tidligt kan afsløre bias, inkonsistens eller misbrug.

Efterhånden som AI bliver mere integreret i sikkerhedsoperationer, er vores mål at sætte en standard, som teams kan stole på – baseret på gennemsigtighed, kontinuerlig testning og menneskeligt ansvar.

En stigning på 120 % i fund af sårbarheder og belønninger tyder på store ændringer i trusselsbilledet. Fortolker du dette som fremskridt inden for detektion eller et tegn på, at virksomhedssoftware bliver mere risikabel?

Det er begge dele – og det er pointen.

Stigningen afspejler reelle fremskridt inden for opdagelse. Forskere afdækker flere handlingsrettede svagheder af høj kvalitet, og øgede belønninger viser, at virksomheder værdsætter at afdække og afhjælpe reel risiko. Flere resultater betyder ikke automatisk, at software er mere risikabelt – de betyder, at eksponeringen endelig er synlig.

Samtidig bliver virksomhedssoftware mere kompleks og sammenkoblet. AI, tredjepartsafhængigheder og hurtigere udgivelsescyklusser udvider angrebsfladen hurtigere, end traditionelle kontroller var designet til at håndtere.

Konklusionen er enkel: risiko er dynamisk, og sikkerhed skal det også være. De mest robuste organisationer antager, at eksponering er uundgåelig, og fokuserer utrætteligt på at løse det, der rent faktisk betyder noget.

Hvad ser du som den største udfordring for crowdsourcede sikkerhedsplatforme i de næste par år, i takt med at AI bliver mere kapabel?

Den største udfordring i enhver sikkerhedsplatform er at opretholde signal og tillid, i takt med at hastighed og skalering øges.

I takt med at AI sænker barrieren for opdagelse, vil platforme opleve en stigning i mængden af ​​automatiserede og hybride arbejdsgange. Risikoen er ikke for få fund – det er støj, der overvælder kunderne, og uensartede incitamenter, der undergraver tilliden.

De platforme, der får succes, vil være dem, der validerer udnyttelsesevne, prioriterer effekt og afstemmer belønninger med resultater – samtidig med at de opretholder stærk styring og menneskelig ansvarlighed. Fremtiden handler ikke om at finde flere problemer; det handler om at finde de rigtige hurtigere og omsætte indsigt til handling, før forretningsmæssige problemer kan opstå.

Forestiller du dig, at HackerOne vil udvide sig ud over sårbarhedsopdagelse til områder som kontinuerlig overvågning, AI-drevet afhjælpning eller prædiktiv trusselsmodellering?

Vores fokus er at løse det kerneproblem, som virksomheder står over for: at forstå og begrænse reel risiko i konstant skiftende miljøer.

Det betyder naturligvis, at vi skal bevæge os ud over blot at opdage på et tidspunkt. Vi opererer allerede på tværs af hele eksponeringslivscyklussen, fra kode og AI-teaming til validering og prioritering, og vi vil fortsætte med at investere i funktioner, der hjælper kunder med at se eksponering tidligere, forstå effekten hurtigere og drive afhjælpning til afslutning.

AI spiller en central rolle i den udvikling – især inden for prioritering og acceleration af arbejdsgange – men altid med menneskelig ansvarlighed i centrum. Vores mål er kontinuerlig, praktisk sikkerhed, der holder trit med moderne innovation.

I takt med at modstandere i stigende grad anvender kunstig intelligens, hvordan planlægger HackerOne så at forblive på forkant og sikre, at defensive værktøjer udvikler sig lige så hurtigt?

Vi er på forkant med vores modstandere ved at operere der, hvor virkelige angreb opstår. Vores globale forskermiljø tester allerede AI-aktiverede teknikker mod levende miljøer, hvilket giver os et tidligt indblik i, hvordan modstandere rent faktisk opererer.

Vi kombinerer den menneskelige indsigt med AI-drevet automatisering for at skalere opdagelse, validering, prioritering og afhjælpning. Lige så vigtigt er det, at vi konstant tryktester vores egen platform ved hjælp af de samme AI-teaming-tilgange, som vi tilbyder kunderne.

Målet er ikke at forudsige hvert nyt angreb – det er at opbygge et system, der lærer hurtigere end angribere gør. Sådan holder defensive værktøjer trit i et AI-drevet trusselslandskab.

Tak for det gode interview – læsere, der ønsker at lære mere om, hvordan virksomheden bruger menneskelig ekspertise og AI-drevet sikkerhed til at hjælpe organisationer med at identificere og inddæmme reelle risici, før det bliver et forretningsproblem, kan besøge HackerOne.