Connect with us

Interviste

Kara Sprague, CEO di HackerOne – Serie di interviste

mm
Published
Updated

Kara Sprague, CEO di HackerOne, è un veterano esecutivo tecnologico con più di due decenni di esperienza che spazia dalla leadership dei prodotti alla gestione generale e alla consulenza strategica nei settori del software e della sicurezza. Ha assunto il ruolo di CEO nel novembre 2024 dopo aver ricoperto posizioni esecutive senior in F5, tra cui Executive Vice President e Chief Product Officer, dove ha guidato importanti iniziative relative a prodotti e piattaforme, nonché ruoli di gestione generale che sovraintendevano a grandi aziende. Prima di F5, ha trascorso oltre un decennio come partner di McKinsey & Company, consigliando le principali aziende tecnologiche sulla crescita e la strategia, e ha iniziato la sua carriera come membro dello staff tecnico di Oracle. Oltre al suo ruolo in HackerOne, fa anche parte del consiglio di amministrazione di Trimble Inc.

HackerOne è un’azienda di sicurezza informatica nota per aver fatto da pioniera nella sicurezza basata su hacker, collegando le organizzazioni con una comunità globale di hacker etici per identificare e porre rimedio alle vulnerabilità prima che possano essere sfruttate. La piattaforma supporta le aziende e i governi attraverso programmi di bounty per bug, divulgazione di vulnerabilità, test di penetrazione e servizi di test di sicurezza che combinano l’esperienza umana con flussi di lavoro automatizzati e guidati da AI. Spostando la sicurezza da un modello reattivo a uno proattivo, HackerOne è diventata una parte critica della moderna pila di sicurezza delle applicazioni per le organizzazioni che cercano di ridurre il rischio e migliorare la resilienza su larga scala.

Ha assunto il ruolo di CEO di HackerOne nel novembre 2024 dopo decenni di leadership in F5, McKinsey, Oracle e altre importanti aziende tecnologiche. Cosa l’ha attratta a prendere questa sfida a questo punto della sua carriera e quali sono state le prime priorità che ha stabilito quando ha iniziato a guidare l’azienda?

Ho trascorso la mia carriera all’intersezione della tecnologia, della strategia e del rischio, aiutando le organizzazioni a navigare momenti in cui le poste in gioco sono alte e l’ambiente sta cambiando rapidamente. Ciò che mi ha attirato verso HackerOne è che siamo esattamente a quel tipo di punto di svolta di nuovo, mentre l’AI ridisegna il panorama della sicurezza informatica.

La sicurezza non è più una funzione di back-office – è un driver fondamentale di fiducia, resilienza e velocità aziendale. Le aziende operano ora su sistemi profondamente interconnessi, flussi di dati costanti e processi decisionali automatizzati su una scala senza precedenti. L’AI sta accelerando l’innovazione, ma sta anche introducendo nuove fessure, dipendenze e modalità di guasto che i modelli di sicurezza tradizionali non erano stati progettati per gestire.

È per questo che la missione di HackerOne conta così tanto in questo momento. La nostra missione è quella di dotare il mondo per costruire un internet più sicuro, e in un mondo guidato dall’AI, questa missione non è mai stata più urgente. HackerOne è diversa perché combina una comunità globale di ricercatori di sicurezza umani con l’intelligenza della piattaforma per trovare e risolvere le vulnerabilità prima che gli attaccanti possano sfruttarle. Quel modello con un essere umano nel ciclo non è solo differenziato – è essenziale.

Fin dal primo giorno, mi sono concentrata su tre priorità: espandere le capacità della nostra piattaforma, investire nella nostra comunità di ricercatori e approfondire la fiducia con i clienti e i partner. Ciò significa scalare il red teaming dell’AI, evolvere Hai da copilota a un team coordinato di agenti AI che aiutano le organizzazioni a priorizzare, convalidare e porre rimedio al rischio in modo più rapido, e lanciare HackerOne Code per proteggere il software più presto nel ciclo di sviluppo. Oggi, più del 90% dei nostri clienti utilizza Hai per accelerare il loro lavoro di convalida e correzione delle vulnerabilità.

Il panorama sta evolvendo rapidamente, ma la nostra attenzione è costante: contenere il rischio prima che si definisca. In HackerOne, ciò significa rendere la sicurezza continua, pratica e costruita per il ritmo dell’innovazione moderna.

HackerOne ha visto sia un aumento del 200% nei test di penetrazione e nel red teaming dell’AI che uno spostamento strategico verso la gestione continua dell’esposizione alle minacce. Come queste tendenze stanno ridisegnando la sua visione a lungo termine per l’azienda e cosa segnala questo slancio sul futuro della sicurezza aziendale?

Ciò che stiamo vedendo non è un picco – è un reset. Un aumento del 200% nei test di penetrazione e nel red teaming dell’AI conferma che la sicurezza punto-per-punto semplicemente non può tenere il passo con la velocità con cui le moderne aziende cambiano.

Questa realtà sta plasmando la nostra visione a lungo termine intorno alla gestione continua dell’esposizione alle minacce in tutta la vita – dalla codifica e dalla nuvola ai sistemi AI. Mentre l’AI accelera sia l’innovazione che la velocità di attacco, la sfida non è trovare le vulnerabilità; è dimostrare cosa è sfruttabile, priorizzare ciò che conta di più e risolverlo rapidamente. Stiamo costruendo una piattaforma che combina test continui, convalida autonoma, priorità intelligenti e competenze umane per fare esattamente ciò.

Per i leader aziendali, il segnale è chiaro: la sicurezza sta diventando una disciplina aziendale continua, non un audit periodico. Le aziende che si distinguono saranno quelle che identificano il rischio più presto, agiscono più velocemente e contengono l’esposizione prima che diventi un problema aziendale. Quel cambiamento definisce il futuro della sicurezza aziendale.

Come il sistema AI Hai si integra nel flusso di lavoro di scoperta delle vulnerabilità e dove fornisce il maggior vantaggio ai ricercatori e ai clienti?

Hai è un team coordinato di agenti AI incorporati direttamente nel flusso di lavoro di gestione delle vulnerabilità per analizzare e contestualizzare continuamente i risultati per aiutare le organizzazioni a priorizzare, convalidare e porre rimedio ai rischi più rapidamente. Opera in tutta la vita di un report, agendo come un moltiplicatore di forza per i difensori mentre i volumi aumentano e le minacce crescono in complessità.

Hai fornisce il maggior vantaggio tagliando il rumore. Migliora la triage e la comprensione riassumendo i report, identificando modelli, convalidando i risultati e evidenziando le questioni più probabili che contano. Le nostre ricerche mostrano che il 20% degli utenti risparmia 6-10 ore ogni settimana, accorciando notevolmente il percorso dalla rilevazione alla correzione sicura.

I ricercatori beneficiano anche. Con più della metà di loro che ora utilizzano l’AI o l’automazione nel loro lavoro, Hai aiuta a produrre proof-of-concept più forti, spiegazioni più chiare e convalida più consistente.

Quali nuove categorie di vulnerabilità sono emerse nell’ultimo anno mentre le aziende adottano l’AI più aggressivamente in tutta la loro pila di software?

Mentre l’AI diventa incorporata in prodotti e flussi di lavoro, stiamo vedendo nuove categorie di vulnerabilità emergere a una scala significativa. Nel nostro ultimo rapporto sulla sicurezza basata su hacker, i report di vulnerabilità dell’AI validi sono aumentati del 210% anno su anno e quasi l’80% dei CISO include ora gli asset AI nell’ambito della sicurezza. L’iniezione di prompt è stata la più visibile, aumentando di più della metà anno su anno, e rimane uno dei modi più comuni in cui gli attaccanti influenzano il comportamento del modello. Stiamo anche vedendo la crescita della manipolazione del modello, della gestione della produzione non sicura, dell’avvelenamento dei dati e delle debolezze legate ai dati di formazione e alla gestione delle risposte.

Ciò che rende questi rischi particolarmente conseguenziali è che non influenzano solo i sistemi – influenzano le decisioni, i flussi di lavoro e la fiducia del cliente. L’AI introduce percorsi di guasto che il test tradizionale non copre appieno. Mentre questi sistemi vengono distribuiti in produzione e diventano più critici operativamente, la sicurezza dell’AI dedicata e continua diventerà sempre più centrale nei programmi di sicurezza aziendale.

Il nostro approccio abbina l’automazione guidata dall’AI per scalare la scoperta e la rilevazione dei modelli con l’esperienza umana per scoprire fallimenti sottili, debolezze nuove e impatto reale – consentendo ai difensori di operare alla stessa velocità e scala degli attaccanti.

Man mano che la comunità globale dei ricercatori si espande, come mantiene la fiducia, la qualità e l’equità mentre avanza anche gli impegni per la diversità e l’inclusione in un ecosistema crowd-powered così grande?

La fiducia è la base di un modello di sicurezza basato sulla folla, e deve essere costruita deliberatamente mentre la comunità si scala.

Per noi, ciò inizia con standard chiari, incentivi coerenti e una forte governance.

La nostra comunità è composta da ricercatori di sicurezza verificati che collaborano con i clienti per identificare, convalidare e aiutare a porre rimedio a vulnerabilità reali in una vasta gamma di tecnologie.

Manteniamo la qualità e l’equità combinando l’intelligenza della piattaforma con la supervisione umana – convalidando i risultati, applicando regole di coinvolgimento uniformi e ricompensando i ricercatori in base all’impatto, non all’background, alla geografia o all’anzianità di servizio. I sistemi di reputazione, la triage trasparente e i modelli di pagamento coerenti creano responsabilità su entrambi i lati del mercato.

Siamo profondamente impegnati nel successo dei ricercatori. Attraverso l’onboarding, la formazione e percorsi di crescita chiari, aiutiamo i nuovi ricercatori a costruire competenze e credibilità. Nel corso degli ultimi sei anni, 50 ricercatori hanno guadagnato più di un milione di dollari ciascuno sulla nostra piattaforma – un potente segnale sia della qualità del lavoro che della equità del modello.

La diversità e l’inclusione non sono iniziative separate; sono fondamentali per la forza dell’ecosistema. Le sfide di sicurezza sono globali, e prospettive diverse mettono in luce percorsi di attacco e punti ciechi diversi. Il risultato è una comunità affidabile e ad alte prestazioni che diventa più forte – e non più frammentata – mentre cresce.

Quali salvaguardie ha implementato HackerOne per assicurare che la scoperta delle vulnerabilità assistita dall’AI rimanga responsabile e eviti pregiudizi o abusi?

In tutta la nostra piattaforma, gli agenti AI sono progettati per migliorare la chiarezza, convalidare i risultati e accelerare la correzione – mentre gli esseri umani rimangono responsabili delle decisioni relative all’accettazione, alla gravità e alla risposta.

Ci atteniamo agli stessi standard che ci aspettiamo dai clienti. Utilizziamo le nostre capacità AI internamente, testandole continuamente in flussi di lavoro reali e ricompensando la nostra comunità di ricercatori per l’identificazione di vulnerabilità ad alto impatto nelle nostre stesse soluzioni. Ciò crea un ciclo di feedback stretto per far emergere il pregiudizio, l’incoerenza o l’abuso presto.

Mentre l’AI diventa più incorporata nelle operazioni di sicurezza, il nostro obiettivo è quello di stabilire una barra che le squadre possano fidarsi – fondata sulla trasparenza, sui test continui e sulla responsabilità umana.

Un aumento del 120% nelle scoperte di vulnerabilità e nelle ricompense suggerisce cambiamenti significativi nel panorama delle minacce. Lei interpreta ciò come un progresso nella rilevazione o come un segno che il software aziendale sta diventando più rischioso?

È entrambi – e questo è il punto.

L’aumento riflette un reale progresso nella rilevazione. I ricercatori stanno scoprendo più debolezze azionabili e di alta qualità, e le ricompense aumentate mostrano che le aziende valorizzano la rilevazione e la correzione del rischio reale. Più scoperte non significano automaticamente che il software è più rischioso – significano che l’esposizione è finalmente visibile.

Allo stesso tempo, il software aziendale sta diventando più complesso e interconnesso. L’AI, le dipendenze di terze parti e i cicli di rilascio più rapidi stanno espandendo la superficie di attacco più rapidamente di quanto i controlli tradizionali fossero stati progettati per gestire.

La morale è semplice: il rischio è dinamico e la sicurezza deve esserlo anche. Le organizzazioni più resilienti assumono che l’esposizione è inevitabile e si concentrano incessantemente sulla correzione di ciò che conta realmente.

Cosa vede come la più grande sfida per le piattaforme di sicurezza crowd-source negli anni a venire mentre l’AI diventa più capace?

La più grande sfida in qualsiasi piattaforma di sicurezza è mantenere il segnale e la fiducia mentre la velocità e la scala aumentano.

Mentre l’AI abbassa la barriera alla scoperta, le piattaforme vedranno un aumento di volume da flussi di lavoro automatizzati e ibridi. Il rischio non è troppi risultati – è il rumore che sovrasta i clienti e gli incentivi non allineati che erodono la fiducia.

Le piattaforme che avranno successo saranno quelle che convalidano l’exploitability, priorizzano l’impatto e allineano le ricompense con i risultati – mentre mantengono una forte governance e una responsabilità umana. Il futuro non è trovare più problemi; è trovare i problemi giusti più velocemente e trasformare l’insight in azione prima che possano sorgere problemi aziendali.

Immagina HackerOne che si espande oltre la scoperta delle vulnerabilità in aree come il monitoraggio continuo, la correzione guidata dall’AI o la modellazione delle minacce predittive?

La nostra attenzione è risolvere il problema fondamentale che le aziende affrontano: comprendere e contenere il rischio reale in ambienti in continua evoluzione.

Ciò significa naturalmente andare oltre la scoperta punto-per-punto. Operiamo già in tutta la vita dell’esposizione, dalla codifica e dal red teaming dell’AI alla convalida e alla priorità, e continueremo a investire in capacità che aiutano i clienti a vedere l’esposizione più presto, a comprendere l’impatto più rapidamente e a guidare la correzione alla chiusura.

L’AI gioca un ruolo centrale in questa evoluzione – in particolare nella priorità e nell’accelerazione del flusso di lavoro – ma sempre con la responsabilità umana al centro. La nostra stella polare è la sicurezza continua, pratica e costruita per il ritmo dell’innovazione moderna.

Mentre gli avversari adottano sempre più l’AI, come HackerOne intende rimanere in vantaggio e assicurarsi che gli strumenti difensivi evolvano altrettanto rapidamente?

Rimaniamo in vantaggio operando dove emergono gli attacchi reali. La nostra comunità globale di ricercatori sta già testando tecniche abilitate dall’AI contro ambienti live, dando a noi una visibilità precoce su come gli avversari operano effettivamente.

Abbiamo abbinato l’insight umano con l’automazione guidata dall’AI per scalare la scoperta, la convalida, la priorità e la correzione. E, cosa altrettanto importante, testiamo continuamente la nostra stessa piattaforma utilizzando gli stessi approcci di red teaming dell’AI che offriamo ai clienti.

L’obiettivo non è prevedere ogni nuovo attacco – è costruire un sistema che impara più velocemente degli attaccanti. È così che gli strumenti difensivi mantengono il passo in un panorama di minacce guidato dall’AI.

Grazie per la grande intervista – i lettori che desiderano saperne di più su come l’azienda stia utilizzando l’esperienza umana e la sicurezza guidata dall’AI per aiutare le organizzazioni a identificare e contenere il rischio reale prima che diventi un problema aziendale possono visitare HackerOne.

Related Topics:
mm

Antoine è un leader visionario e socio fondatore di Unite.AI, guidato da una passione incrollabile per plasmare e promuovere il futuro dell'AI e della robotica. Un imprenditore seriale, crede che l'AI sarà altrettanto disruptiva per la società quanto l'elettricità, e spesso viene colto a parlare con entusiasmo del potenziale delle tecnologie disruptive e dell'AGI.
Come futurist, è dedicato a esplorare come queste innovazioni plasmeranno il nostro mondo. Inoltre, è il fondatore di Securities.io, una piattaforma focalizzata sugli investimenti in tecnologie all'avanguardia che stanno ridefinendo il futuro e ridisegnando interi settori.