Kara Sprague, administrerende direktør i HackerOne – intervjuserie

Kara Sprague, administrerende direktør i HackerOne, er en erfaren teknologileder med mer enn to tiårs erfaring fra produktledelse, generell ledelse og strategisk rådgivning på tvers av programvare- og sikkerhetssektorene. Hun tiltrådte stillingen som administrerende direktør i november 2024 etter å ha hatt ledende stillinger i F5, inkludert konserndirektør og produktsjef, hvor hun ledet store produkt- og plattforminitiativer, samt tidligere daglig lederroller med tilsyn med store virksomheter. Før F5 var hun partner i McKinsey & Company i over et tiår, hvor hun ga råd til ledende teknologiselskaper om vekst og strategi, og startet karrieren sin som teknisk medarbeider hos Oracle. Ved siden av rollen sin i HackerOne sitter hun også i styret i Trimble Inc.

HackerOne er et cybersikkerhetsselskap som er mest kjent for å være banebrytende innen hackerdrevet sikkerhet, og kobler organisasjoner med et globalt fellesskap av etiske hackere for å identifisere og utbedre sårbarheter før de kan utnyttes. Plattformen støtter bedrifter og myndigheter gjennom bug bounty-programmer, sårbarhetsavsløring, penetrasjonstesting og sikkerhetstestingstjenester som kombinerer menneskelig ekspertise med automatisering og AI-drevne arbeidsflyter. Ved å flytte sikkerheten fra en reaktiv til en proaktiv modell har HackerOne blitt en kritisk del av den moderne applikasjonssikkerhetsstakken for organisasjoner som ønsker å redusere risiko og forbedre robusthet i stor skala.

Du tiltrådte rollen som administrerende direktør i HackerOne i november 2024 etter flere tiår med lederskap i F5, McKinsey, Oracle og andre store teknologiorganisasjoner. Hva fikk deg til å ta fatt på denne utfordringen på dette stadiet av karrieren din, og hva var de første prioriteringene du satte da du begynte å lede selskapet?

Jeg har tilbrakt karrieren min i skjæringspunktet mellom teknologi, strategi og risiko, og hjulpet organisasjoner med å navigere i øyeblikk der innsatsen er høy og miljøet endrer seg raskt. Det som trakk meg til HackerOne, er at vi er på akkurat det vendepunktet igjen, ettersom AI omformer nettsikkerhetslandskapet.

Sikkerhet er ikke lenger en backoffice-funksjon – det er en sentral driver for tillit, robusthet og forretningshastighet. Bedrifter opererer nå på dypt sammenkoblede systemer, konstante dataflyter og automatisert beslutningstaking i enestående skala. AI akselererer innovasjon, men den introduserer også nye skjøter, avhengigheter og feilmoduser som tradisjonelle sikkerhetsmodeller ikke var bygget for å håndtere.

Derfor er HackerOnes oppdrag så viktig akkurat nå. Vårt oppdrag er å gi verden muligheten til å bygge et tryggere internett, og i en AI-drevet verden har dette oppdraget aldri vært mer presserende. HackerOne er annerledes fordi vi kombinerer et globalt fellesskap av forskere på menneskelig sikkerhet med plattformintelligens for å finne og fikse sårbarheter før angripere kan utnytte dem. Denne «menneske-i-loopen»-modellen er ikke bare differensiert – den er essensiell.

Fra dag én fokuserte jeg på tre prioriteringer: å utvide våre agentplattformmuligheter, investere i forskermiljøet vårt og styrke tilliten til kunder og partnere. Det betyr å skalere AI-red teaming, utvikle Hai fra en copilot til et koordinert team av AI-agenter som hjelper organisasjoner med å kontinuerlig prioritere, validere og avhjelpe risiko raskere, og lansere HackerOne Code for å sikre programvare tidligere i utviklingssyklusen. I dag bruker mer enn 90 % av kundene våre Hai for å akselerere arbeidet sitt med å validere og fikse sårbarheter.

Landskapet utvikler seg raskt, men fokuset vårt er konstant: å begrense risiko før den definerer deg. Hos HackerOne betyr det å gjøre sikkerhet kontinuerlig, praktisk og bygget for tempoet i moderne innovasjon.

HackerOne har sett både en økning på 200 % i penetrasjonstesting og AI-red teaming, og et strategisk skifte mot kontinuerlig håndtering av trusseleksponering. Hvordan omformer disse trendene deres langsiktige visjon for selskapet, og hva signaliserer denne fremdriften om fremtiden for bedriftssikkerhet?

Det vi ser er ikke en topp – det er en tilbakestilling. En økning på 200 % i penetrasjonstesting og AI-red teaming bekrefter at sikkerhet på bestemte tidspunkter rett og slett ikke kan holde tritt med hvor raskt moderne bedrifter endrer seg.

Denne virkeligheten former vår langsiktige visjon rundt kontinuerlig håndtering av trusseleksponering gjennom hele livssyklusen – fra kode og sky til AI-systemer. Ettersom AI akselererer både innovasjon og angrepshastighet, er ikke utfordringen å finne sårbarheter; det er å bevise hva som kan utnyttes, prioritere det som betyr mest og fikse det raskt. Vi bygger en plattform som kombinerer kontinuerlig testing, autonom validering, intelligent prioritering og menneskelig ekspertise for å gjøre nettopp det.

For bedriftsledere er signalet klart: sikkerhet er i ferd med å bli en kontinuerlig forretningsdisiplin, ikke en periodisk revisjon. Selskapene som presterer bedre, vil være de som identifiserer risiko tidligere, handler raskere og begrenser eksponering før den blir et forretningsproblem. Dette skiftet definerer fremtiden for bedriftssikkerhet.

Hvordan integreres AI-systemet ditt, Hai, i arbeidsflyten for å oppdage sårbarheter, og hvor gir det mest innflytelse til forskere og kunder?

Hai er et koordinert team av AI-agenter som er integrert direkte i arbeidsflyten for sårbarhetshåndtering for kontinuerlig å analysere og kontekstualisere funn for å hjelpe organisasjoner med å prioritere, validere og avhjelpe risikoer raskere. Det opererer gjennom hele rapportens livssyklus og fungerer som en kraftmultiplikator for forsvarere etter hvert som volumene øker og truslene blir mer komplekse.

Hai gir størst innflytelse ved å kutte gjennom støy. Det forbedrer triage og forståelse ved å oppsummere rapporter, identifisere mønstre, validere funn og fremheve problemene som sannsynligvis er viktige. Vår forskning viser at 20 % av brukerne sparer 6 til 10 timer hver uke, forkorter veien fra deteksjon til sikker utbedring betydelig.

Forskere drar også nytte av det. Med mer enn halvparten av dem bruker nå kunstig intelligens eller automatisering i arbeidet sitt, Hai hjelper dem med å produsere sterkere konseptbevis, tydeligere forklaringer og mer konsistent validering.

Hvilke nye kategorier av sårbarheter har dukket opp det siste året ettersom bedrifter tar i bruk AI mer aggressivt på tvers av programvarestablene sine?

Etter hvert som AI blir integrert i produkter og arbeidsflyter, ser vi nye sårbarhetskategorier dukke opp i betydelig skala. I vår siste rapport om hackerdrevne sikkerhetstiltak økte gyldige rapporter om AI-sårbarhet med 210 % fra år til år, og nesten 80 % av IT-sjefer inkluderer nå AI-ressurser som er omfattet av sikkerhetstesting. Rask injeksjon har vært den mest synlige, øker med mer enn et halvt år over året, og er fortsatt en av de vanligste måtene angripere påvirker modellatferd på. Vi ser også vekst i modellmanipulering, usikker håndtering av utdata, dataforgiftning og svakheter knyttet til treningsdata og responshåndtering.

Det som gjør disse risikoene spesielt viktige, er at de ikke bare påvirker systemer – de påvirker beslutninger, arbeidsflyter og kundenes tillit. AI introduserer feilveier som tradisjonell testing ikke dekker fullt ut. Etter hvert som disse systemene distribueres i produksjon og blir mer driftskritiske, vil dedikert og kontinuerlig AI-sikkerhetstesting bli stadig mer sentralt i bedriftssikkerhetsprogrammer.

Tilnærmingen vår kombinerer AI-drevet automatisering for å skalere oppdagelse og mønsterdeteksjon med menneskelig ekspertise for å avdekke subtile feil, nye svakheter og reelle konsekvenser – slik at forsvarere kan operere i samme hastighet og skala som angripere.

Etter hvert som det globale forskermiljøet vokser, hvordan opprettholder du tillit, kvalitet og rettferdighet samtidig som du fremmer dine forpliktelser til mangfold og inkludering i et så stort, folkedrevet økosystem?

Tillit er grunnlaget for en sikkerhetsmodell drevet av publikum, og den må bygges bevisst etter hvert som fellesskapet skaleres. For oss starter det med klare standarder, konsistente insentiver og sterk styring.

Fellesskapet vårt består av godkjente sikkerhetsforskere som samarbeider med kunder for å identifisere, validere og bidra til å utbedre reelle sårbarheter på tvers av et bredt spekter av teknologier.

Vi opprettholder kvalitet og rettferdighet ved å kombinere plattformintelligens med menneskelig tilsyn – validerer funn, håndhever ensartede regler for engasjement og belønner forskere basert på innvirkning, ikke bakgrunn, geografi eller ansettelsestid. Omdømmesystemer, transparent sortering og konsistente utbetalingsmodeller skaper ansvarlighet på begge sider av markedet.

Vi er dypt investert i forskeres suksess. Gjennom onboarding, opplæring og tydelige vekstveier hjelper vi nye forskere med å bygge ferdigheter og troverdighet. I løpet av de siste seks årene, 50 forskere har tjent mer enn 1 million dollar hver på plattformen vår – et sterkt signal om både arbeidets kaliber og modellens rettferdighet.

Mangfold og inkludering er ikke separate initiativer; de er sentrale i økosystemets styrke. Sikkerhetsutfordringer er globale, og ulike perspektiver dukker opp ulike angrepsveier og blindsoner. Resultatet er et pålitelig og høytytende fellesskap som blir sterkere – ikke mer fragmentert – etter hvert som det vokser.

Hvilke sikkerhetstiltak har HackerOne iverksatt for å sikre at AI-assistert oppdagelse av sårbarheter forblir ansvarlig og unngår skjevhet eller misbruk?

På tvers av plattformen vår er AI-agenter utformet for å forbedre klarheten, validere funn og akselerere utbedring – mens mennesker forblir ansvarlige for beslutninger rundt aksept, alvorlighetsgrad og respons.

Vi stiller de samme standardene som vi forventer av kundene våre. Vi bruker våre AI-funksjoner internt, trykktester dem kontinuerlig i reelle arbeidsflyter og belønner forskermiljøet vårt for å identifisere sårbarheter med stor innvirkning i våre egne løsninger. Dette skaper en tett tilbakemeldingssløyfe som avdekker skjevheter, inkonsekvens eller misbruk tidlig.

Etter hvert som AI blir mer integrert i sikkerhetsoperasjoner, er målet vårt å sette en standard som team kan stole på – forankret i åpenhet, kontinuerlig testing og menneskelig ansvar.

En økning på 120 % i funn og belønninger for sårbarheter tyder på store endringer i trussellandskapet. Tolker du dette som fremskritt innen deteksjon eller et tegn på at programvare for bedrifter blir mer risikabelt?

Det er begge deler – og det er poenget.

Økningen gjenspeiler reelle fremskritt innen deteksjon. Forskere avdekker flere tiltaksrettede svakheter av høy kvalitet, og økte belønninger viser at bedrifter verdsetter å avdekke og korrigere reell risiko. Flere funn betyr ikke automatisk at programvare er mer risikabelt – de betyr at eksponering endelig er synlig.

Samtidig blir programvare for bedrifter mer kompleks og sammenkoblet. AI, tredjepartsavhengigheter og raskere utgivelsessykluser utvider angrepsflaten raskere enn tradisjonelle kontroller var designet for å håndtere.

Konklusjonen er enkel: risiko er dynamisk, og sikkerhet må også være det. De mest robuste organisasjonene antar at eksponering er uunngåelig og fokuserer nådeløst på å fikse det som faktisk betyr noe.

Hva ser du som den største utfordringen for crowdsourcede sikkerhetsplattformer de neste årene etter hvert som AI blir mer kapabel?

Den største utfordringen i enhver sikkerhetsplattform er å opprettholde signal og tillit etter hvert som hastighet og skalering øker.

Etter hvert som AI senker barrieren for oppdagelse, vil plattformer se en økning i volum fra automatiserte og hybride arbeidsflyter. Risikoen er ikke for få funn – det er støy som overvelder kundene og feiljusterte insentiver som undergraver tilliten.

Plattformene som lykkes vil være de som validerer utnyttbarhet, prioriterer effekt og samsvarer belønninger med resultater – samtidig som de opprettholder sterk styring og menneskelig ansvarlighet. Fremtiden handler ikke om å finne flere problemer; det handler om å finne de riktige raskere og omsette innsikt til handling før forretningsproblemer kan oppstå.

Ser du for deg at HackerOne utvider seg utover sårbarhetsoppdagelse til områder som kontinuerlig overvåking, AI-drevet utbedring eller prediktiv trusselmodellering?

Vårt fokus er å løse kjerneproblemet bedrifter står overfor: å forstå og begrense reell risiko i stadig skiftende miljøer.

Det betyr naturligvis å gå lenger enn bare oppdagelse på et gitt tidspunkt. Vi opererer allerede på tvers av hele eksponeringssyklusen, fra kode og AI-teaming til validering og prioritering, og vi vil fortsette å investere i funksjoner som hjelper kunder med å se eksponering tidligere, forstå effekten raskere og drive utbedring til avslutning.

AI spiller en sentral rolle i denne utviklingen – spesielt innen prioritering og akselerasjon av arbeidsflyt – men alltid med menneskelig ansvarlighet i sentrum. Vår nordstjerne er kontinuerlig, praktisk sikkerhet som holder tritt med moderne innovasjon.

Etter hvert som motstandere i økende grad tar i bruk AI, hvordan planlegger HackerOne å ligge i forkant og sikre at defensive verktøy utvikler seg like raskt?

Vi ligger i forkant av motstanderne våre ved å operere der reelle angrep oppstår. Vårt globale forskerfellesskap tester allerede AI-aktiverte teknikker mot levende miljøer, noe som gir oss tidlig innsikt i hvordan motstandere faktisk opererer.

Vi kombinerer denne menneskelige innsikten med AI-drevet automatisering for å skalere oppdagelse, validering, prioritering og utbedring. Like viktig er det at vi kontinuerlig trykktester vår egen plattform ved å bruke de samme AI-baserte teaming-tilnærmingene som vi tilbyr kundene.

Målet er ikke å forutsi hvert nye angrep – det er å bygge et system som lærer raskere enn angripere. Det er slik defensive verktøy holder tritt i et AI-drevet trussellandskap.

Takk for det flotte intervjuet – lesere som ønsker å lære mer om hvordan selskapet bruker menneskelig ekspertise og AI-drevet sikkerhet for å hjelpe organisasjoner med å identifisere og begrense reell risiko før det blir et forretningsproblem, kan besøke HackerOne.