Terhubung dengan kami

wawancara

Kara Sprague, CEO HackerOne – Seri Wawancara

mm
Diterbitkan

Kara SpragueCEO HackerOne, adalah seorang eksekutif teknologi veteran dengan pengalaman lebih dari dua dekade yang mencakup kepemimpinan produk, manajemen umum, dan konsultasi strategis di sektor perangkat lunak dan keamanan. Ia menjabat sebagai CEO pada November 2024 setelah menduduki posisi eksekutif senior di F5, termasuk Wakil Presiden Eksekutif dan Kepala Bagian Produk, di mana ia memimpin inisiatif produk dan platform utama, serta peran manajer umum sebelumnya yang mengawasi bisnis berskala besar. Sebelum bergabung dengan F5, ia menghabiskan lebih dari satu dekade sebagai mitra di McKinsey & Company, memberikan nasihat kepada perusahaan teknologi terkemuka tentang pertumbuhan dan strategi, dan memulai karirnya sebagai anggota staf teknis di Oracle. Selain perannya di HackerOne, ia juga menjabat sebagai anggota dewan direksi di Trimble Inc.

PeretasOne HackerOne adalah perusahaan keamanan siber yang terkenal karena mempelopori keamanan berbasis peretas, menghubungkan organisasi dengan komunitas peretas etis global untuk mengidentifikasi dan memperbaiki kerentanan sebelum dapat dieksploitasi. Platform ini mendukung perusahaan dan pemerintah melalui program bug bounty, pengungkapan kerentanan, pengujian penetrasi, dan layanan pengujian keamanan yang menggabungkan keahlian manusia dengan otomatisasi dan alur kerja berbasis AI. Dengan menggeser keamanan dari model reaktif ke proaktif, HackerOne telah menjadi bagian penting dari tumpukan keamanan aplikasi modern bagi organisasi yang ingin mengurangi risiko dan meningkatkan ketahanan dalam skala besar.

Anda menjabat sebagai CEO di HackerOne pada November 2024 setelah puluhan tahun memimpin di F5, McKinsey, Oracle, dan organisasi teknologi besar lainnya. Apa yang menarik Anda untuk menerima tantangan ini pada tahap karier Anda saat ini, dan apa prioritas pertama yang Anda tetapkan ketika mulai memimpin perusahaan?

Sepanjang karier saya, saya berkiprah di persimpangan teknologi, strategi, dan risiko, membantu organisasi menavigasi momen-momen ketika taruhannya tinggi dan lingkungan berubah dengan cepat. Yang menarik saya ke HackerOne adalah kita berada tepat di titik perubahan penting seperti itu lagi, seiring dengan AI yang membentuk kembali lanskap keamanan siber.

Keamanan bukan lagi fungsi pendukung—melainkan pendorong utama kepercayaan, ketahanan, dan kecepatan bisnis. Perusahaan kini beroperasi pada sistem yang saling terhubung erat, aliran data yang konstan, dan pengambilan keputusan otomatis dalam skala yang belum pernah terjadi sebelumnya. AI mempercepat inovasi, tetapi juga memperkenalkan celah, ketergantungan, dan mode kegagalan baru yang tidak dirancang untuk ditangani oleh model keamanan tradisional.

Itulah mengapa misi HackerOne sangat penting saat ini. Misi kami adalah memberdayakan dunia untuk membangun internet yang lebih aman, dan di dunia yang digerakkan oleh AI, misi tersebut tidak pernah seurgent ini. HackerOne berbeda karena kami menggabungkan komunitas global peneliti keamanan manusia dengan kecerdasan platform untuk menemukan dan memperbaiki kerentanan sebelum penyerang dapat mengeksploitasinya. Model keterlibatan manusia ini bukan hanya pembeda—tetapi juga sangat penting.

Sejak hari pertama, saya fokus pada tiga prioritas: memperluas kemampuan platform agen kami, berinvestasi dalam komunitas peneliti kami, dan memperdalam kepercayaan dengan pelanggan dan mitra. Itu berarti meningkatkan skala red teaming AI, mengembangkan Hai dari sekadar asisten menjadi tim agen AI terkoordinasi yang membantu organisasi terus memprioritaskan, memvalidasi, dan memperbaiki risiko dengan lebih cepat, serta meluncurkan HackerOne Code untuk mengamankan perangkat lunak lebih awal dalam siklus pengembangan. Saat ini, lebih dari 90% pelanggan kami menggunakan Hai untuk mempercepat pekerjaan mereka dalam memvalidasi dan memperbaiki kerentanan.

Lanskapnya berkembang pesat, tetapi fokus kami tetap konstan: kendalikan risiko sebelum risiko tersebut menentukan nasib Anda. Di HackerOne, itu berarti menjadikan keamanan berkelanjutan, praktis, dan dirancang untuk mengikuti laju inovasi modern.

HackerOne telah menyaksikan lonjakan 200% dalam pengujian penetrasi dan red teaming berbasis AI, serta pergeseran strategis menuju manajemen paparan ancaman berkelanjutan. Bagaimana tren ini membentuk kembali visi jangka panjang Anda untuk perusahaan, dan apa yang ditunjukkan oleh momentum ini tentang masa depan keamanan perusahaan?

Yang kita lihat bukanlah lonjakan — melainkan pengaturan ulang. Peningkatan 200% dalam pengujian penetrasi dan tim merah berbasis AI menegaskan bahwa keamanan pada satu titik waktu saja tidak dapat mengimbangi kecepatan perubahan perusahaan modern.

Realitas tersebut membentuk visi jangka panjang kami seputar manajemen paparan ancaman berkelanjutan di seluruh siklus hidup — dari kode dan cloud hingga sistem AI. Seiring dengan percepatan inovasi dan kecepatan serangan oleh AI, tantangannya bukanlah menemukan kerentanan; melainkan membuktikan apa yang dapat dieksploitasi, memprioritaskan apa yang paling penting, dan memperbaikinya dengan cepat. Kami sedang membangun platform yang menggabungkan pengujian berkelanjutan, validasi otonom, prioritas cerdas, dan keahlian manusia untuk melakukan hal tersebut.

Bagi para pemimpin perusahaan, sinyalnya jelas: keamanan menjadi disiplin bisnis yang berkelanjutan, bukan sekadar audit berkala. Perusahaan yang berkinerja lebih baik adalah perusahaan yang mengidentifikasi risiko lebih awal, bertindak lebih cepat, dan membatasi paparan sebelum menjadi masalah bisnis. Pergeseran ini menentukan masa depan keamanan perusahaan.

Bagaimana sistem AI Anda, Hai, terintegrasi ke dalam alur kerja penemuan kerentanan, dan di mana sistem ini memberikan manfaat terbesar bagi peneliti dan pelanggan?

Hai adalah tim agen AI terkoordinasi yang tertanam langsung dalam alur kerja manajemen kerentanan untuk terus menganalisis dan mengonteksualisasikan temuan guna membantu organisasi memprioritaskan, memvalidasi, dan memperbaiki risiko dengan lebih cepat. Hai beroperasi di seluruh siklus hidup laporan, bertindak sebagai penguat bagi para pembela seiring meningkatnya volume dan semakin kompleksnya ancaman.

Hai memberikan daya ungkit terbesar dengan menyaring informasi yang tidak relevan. Hai meningkatkan proses penyaringan dan pemahaman dengan meringkas laporan, mengidentifikasi pola, memvalidasi temuan, dan menyoroti isu-isu yang paling penting. Riset kami menunjukkan bahwa 20% pengguna menghemat 6 hingga 10 jam setiap minggu, Mempersingkat secara signifikan jalur dari deteksi hingga perbaikan yang tepat.

Para peneliti juga mendapat manfaat. Dengan lebih dari separuh dari mereka sekarang menggunakan AI atau otomatisasi dalam pekerjaan merekaHai membantu mereka menghasilkan bukti konsep yang lebih kuat, penjelasan yang lebih jelas, dan validasi yang lebih konsisten.

Kategori kerentanan baru apa saja yang muncul selama setahun terakhir seiring dengan semakin agresifnya perusahaan mengadopsi AI di seluruh tumpukan perangkat lunak mereka?

Seiring dengan semakin terintegrasinya AI di berbagai produk dan alur kerja, kita melihat kategori kerentanan baru muncul dalam skala yang signifikan. Dalam Laporan Keamanan Berbasis Peretas terbaru kami, laporan kerentanan AI yang valid meningkat 210% dari tahun ke tahun dan hampir 80% CISO sekarang memasukkan aset AI dalam ruang lingkup pengujian keamanan. Injeksi prompt menjadi yang paling terlihat, meningkat lebih dari setengahnya dibandingkan tahun sebelumnya, dan tetap menjadi salah satu cara paling umum yang digunakan penyerang untuk memengaruhi perilaku model. Kami juga melihat pertumbuhan dalam manipulasi model, penanganan output yang tidak aman, peracunan data, dan kelemahan yang terkait dengan data pelatihan dan manajemen respons.

Yang membuat risiko-risiko ini sangat penting adalah karena risiko tersebut tidak hanya memengaruhi sistem—tetapi juga memengaruhi keputusan, alur kerja, dan kepercayaan pelanggan. AI memperkenalkan jalur kegagalan yang tidak sepenuhnya tercakup oleh pengujian tradisional. Seiring sistem-sistem ini diterapkan ke lingkungan produksi dan menjadi semakin penting secara operasional, pengujian keamanan AI yang khusus dan berkelanjutan akan menjadi semakin sentral dalam program keamanan perusahaan.

Pendekatan kami menggabungkan otomatisasi berbasis AI untuk meningkatkan penemuan dan deteksi pola dengan keahlian manusia untuk mengungkap kegagalan yang halus, kelemahan baru, dan dampak di dunia nyata — memungkinkan pihak bertahan untuk beroperasi dengan kecepatan dan skala yang sama seperti pihak penyerang.

Seiring dengan berkembangnya komunitas peneliti global, bagaimana Anda menjaga kepercayaan, kualitas, dan keadilan sekaligus memajukan komitmen Anda terhadap keragaman dan inklusi di seluruh ekosistem berbasis kontribusi kolektif yang begitu besar?

Kepercayaan adalah fondasi dari model keamanan berbasis komunitas, dan kepercayaan tersebut harus dibangun secara sengaja seiring dengan berkembangnya komunitas. Bagi kami, hal itu dimulai dengan standar yang jelas, insentif yang konsisten, dan tata kelola yang kuat.

Komunitas kami terdiri dari para peneliti keamanan yang telah diverifikasi dan bermitra dengan pelanggan untuk mengidentifikasi, memvalidasi, dan membantu memperbaiki kerentanan dunia nyata di berbagai teknologi.

Kami menjaga kualitas dan keadilan dengan menggabungkan kecerdasan platform dengan pengawasan manusia — memvalidasi temuan, menegakkan aturan keterlibatan yang seragam, dan memberi penghargaan kepada peneliti berdasarkan dampak, bukan latar belakang, geografi, atau masa jabatan. Sistem reputasi, penyaringan yang transparan, dan model pembayaran yang konsisten menciptakan akuntabilitas di kedua sisi pasar.

Kami sangat berkomitmen pada kesuksesan peneliti. Melalui orientasi, pelatihan, dan jalur pengembangan yang jelas, kami membantu peneliti baru membangun keterampilan dan kredibilitas. Selama enam tahun terakhir, 50 peneliti telah menghasilkan lebih dari $1 juta masing-masing di platform kami. â€” sebuah sinyal kuat yang menunjukkan kaliber karya dan keadilan model tersebut.

Keberagaman dan inklusi bukanlah inisiatif terpisah; keduanya merupakan inti dari kekuatan ekosistem. Tantangan keamanan bersifat global, dan beragam perspektif memunculkan jalur serangan dan titik buta yang berbeda. Hasilnya adalah komunitas yang tepercaya dan berkinerja tinggi yang menjadi lebih kuat — bukan lebih terfragmentasi — seiring pertumbuhannya.

Langkah-langkah pengamanan apa yang telah diterapkan HackerOne untuk memastikan bahwa penemuan kerentanan dengan bantuan AI tetap bertanggung jawab dan menghindari bias atau penyalahgunaan?

Di seluruh platform kami, agen AI dirancang untuk meningkatkan kejelasan, memvalidasi temuan, dan mempercepat perbaikan — sementara manusia tetap bertanggung jawab atas keputusan terkait penerimaan, tingkat keparahan, dan respons.

Kami menerapkan standar yang sama pada diri kami sendiri seperti yang kami harapkan dari pelanggan. Kami menggunakan kemampuan AI kami secara internal, mengujinya secara terus-menerus dalam alur kerja nyata, dan memberi penghargaan kepada komunitas peneliti kami karena mengidentifikasi kerentanan berdampak tinggi dalam solusi kami sendiri. Hal itu menciptakan siklus umpan balik yang ketat untuk mengungkap bias, inkonsistensi, atau penyalahgunaan sejak dini.

Seiring dengan semakin terintegrasinya AI dalam operasi keamanan, tujuan kami adalah menetapkan standar yang dapat dipercaya oleh tim — yang didasarkan pada transparansi, pengujian berkelanjutan, dan tanggung jawab manusia.

Peningkatan 120% dalam temuan kerentanan dan imbalan menunjukkan pergeseran besar dalam lanskap ancaman. Apakah Anda menafsirkan ini sebagai kemajuan dalam deteksi atau sebagai tanda bahwa perangkat lunak perusahaan menjadi lebih berisiko?

Ini keduanya — dan itulah intinya.

Peningkatan ini mencerminkan kemajuan nyata dalam deteksi. Para peneliti menemukan lebih banyak kelemahan yang dapat ditindaklanjuti dan berkualitas tinggi, dan peningkatan imbalan menunjukkan bahwa perusahaan menghargai pengungkapan dan perbaikan risiko nyata. Lebih banyak temuan tidak secara otomatis berarti perangkat lunak lebih berisiko — itu berarti paparan akhirnya terlihat.

Pada saat yang sama, perangkat lunak perusahaan menjadi semakin kompleks dan saling terhubung. AI, ketergantungan pihak ketiga, dan siklus rilis yang lebih cepat memperluas permukaan serangan lebih cepat daripada yang dirancang untuk ditangani oleh kontrol tradisional.

Intinya sederhana: risiko bersifat dinamis, dan keamanan juga harus demikian. Organisasi yang paling tangguh menganggap paparan risiko tidak dapat dihindari dan fokus tanpa henti pada perbaikan hal-hal yang benar-benar penting.

Menurut Anda, apa tantangan terbesar bagi platform keamanan berbasis crowdsourcing dalam beberapa tahun ke depan seiring dengan meningkatnya kemampuan AI?

Tantangan terbesar dalam platform keamanan apa pun adalah menjaga sinyal dan kepercayaan seiring dengan peningkatan kecepatan dan skala.

Seiring dengan penurunan hambatan penemuan berkat AI, platform akan mengalami peningkatan volume yang signifikan dari alur kerja otomatis dan hibrida. Risikonya bukanlah terlalu sedikit temuan—melainkan kebisingan yang membanjiri pelanggan dan insentif yang tidak selaras yang mengikis kepercayaan.

Platform yang berhasil adalah platform yang memvalidasi potensi eksploitasi, memprioritaskan dampak, dan menyelaraskan imbalan dengan hasil—sambil mempertahankan tata kelola yang kuat dan akuntabilitas manusia. Masa depan bukanlah tentang menemukan lebih banyak masalah; melainkan tentang menemukan masalah yang tepat dengan lebih cepat dan mengubah wawasan menjadi tindakan sebelum masalah bisnis muncul.

Apakah Anda membayangkan HackerOne berkembang melampaui penemuan kerentanan ke bidang-bidang seperti pemantauan berkelanjutan, perbaikan berbasis AI, atau pemodelan ancaman prediktif?

Fokus kami adalah menyelesaikan masalah inti yang dihadapi perusahaan: memahami dan mengendalikan risiko nyata dalam lingkungan yang terus berubah.

Hal itu tentu saja berarti melangkah lebih jauh dari sekadar penemuan pada satu titik waktu. Kami sudah beroperasi di seluruh siklus hidup paparan, mulai dari pengujian kode dan AI hingga validasi dan prioritas, dan kami akan terus berinvestasi dalam kemampuan yang membantu pelanggan melihat paparan lebih awal, memahami dampaknya lebih cepat, dan mendorong perbaikan hingga selesai.

AI memainkan peran sentral dalam evolusi tersebut — khususnya dalam penentuan prioritas dan percepatan alur kerja — tetapi selalu dengan akuntabilitas manusia sebagai pusatnya. Tujuan utama kami adalah keamanan praktis yang berkelanjutan dan mampu mengikuti perkembangan inovasi modern.

Seiring dengan semakin banyaknya musuh yang mengadopsi AI, bagaimana HackerOne berencana untuk tetap unggul dan memastikan alat pertahanan berkembang dengan cepat?

Kami selalu selangkah lebih maju dari musuh dengan beroperasi di tempat serangan nyata muncul. Komunitas peneliti global kami sudah menguji teknik berbasis AI di lingkungan nyata, memberi kami wawasan awal tentang bagaimana musuh sebenarnya beroperasi.

Kami menggabungkan wawasan manusia tersebut dengan otomatisasi berbasis AI untuk meningkatkan skala penemuan, validasi, prioritas, dan perbaikan. Yang tak kalah penting, kami terus menguji platform kami sendiri menggunakan pendekatan pengujian AI (red teaming) yang sama seperti yang kami tawarkan kepada pelanggan.

Tujuannya bukanlah untuk memprediksi setiap serangan baru — melainkan untuk membangun sistem yang belajar lebih cepat daripada penyerang. Itulah cara alat pertahanan mengimbangi perkembangan ancaman yang didorong oleh AI.

Terima kasih atas wawancara yang luar biasa—para pembaca yang ingin mempelajari lebih lanjut tentang bagaimana perusahaan menggunakan keahlian manusia dan keamanan berbasis AI untuk membantu organisasi mengidentifikasi dan mengatasi risiko dunia nyata sebelum menjadi masalah bisnis dapat mengunjungi PeretasOne.

Topik-topik terkait:
mm

Antoine adalah pemimpin visioner dan mitra pendiri Unite.AI, yang didorong oleh hasrat yang tak tergoyahkan untuk membentuk dan mempromosikan masa depan AI dan robotika. Sebagai pengusaha serial, ia percaya bahwa AI akan sama disruptifnya terhadap masyarakat seperti listrik, dan sering kali terlihat mengoceh tentang potensi teknologi disruptif dan AGI.

Sebagai futuris, ia berdedikasi untuk mengeksplorasi bagaimana inovasi ini akan membentuk dunia kita. Selain itu, ia adalah pendiri Sekuritas.io, sebuah platform yang berfokus pada investasi dalam teknologi mutakhir yang mendefinisikan kembali masa depan dan membentuk kembali seluruh sektor.