Wywiady
Kara Sprague, dyrektor generalna HackerOne – seria wywiadów
Kara Sprague, CEO HackerOne, jest doświadczoną menedżerką w branży technologicznej z ponad dwudziestoletnim doświadczeniem w zakresie zarządzania produktami, zarządzania ogólnego oraz doradztwa strategicznego w sektorach oprogramowania i bezpieczeństwa. Objęła stanowisko CEO w listopadzie 2024 roku, po zajmowaniu wysokich stanowisk kierowniczych w F5, w tym wiceprezesa wykonawczego i dyrektora ds. produktów, gdzie kierowała głównymi inicjatywami produktowymi i platformowymi, a wcześniej pełniła funkcje dyrektora generalnego nadzorującego duże przedsiębiorstwa. Przed F5 spędziła ponad dekadę jako partner w McKinsey & Company, doradzając wiodącym firmom technologicznym w zakresie rozwoju i strategii, a swoją karierę rozpoczęła jako członek zespołu technicznego w Oracle. Oprócz pracy w HackerOne zasiada również w zarządzie Trimble Inc.
HackerOne to firma zajmująca się cyberbezpieczeństwem, znana z pionierskich rozwiązań bezpieczeństwa wspomaganych przez hakerów, łącząca organizacje z globalną społecznością etycznych hakerów w celu identyfikacji i usuwania luk w zabezpieczeniach, zanim zostaną one wykorzystane. Platforma wspiera przedsiębiorstwa i instytucje rządowe poprzez programy bug bounty, ujawnianie luk w zabezpieczeniach, testy penetracyjne oraz usługi testowania bezpieczeństwa, które łączą wiedzę specjalistyczną z automatyzacją i przepływami pracy opartymi na sztucznej inteligencji. Przechodząc od modelu reaktywnego do proaktywnego, HackerOne stał się kluczowym elementem nowoczesnego stosu zabezpieczeń aplikacji dla organizacji, które chcą ograniczyć ryzyko i zwiększyć odporność na dużą skalę.
Objąłeś stanowisko CEO w HackerOne w listopadzie 2024 roku, po dekadach kierowania w F5, McKinsey, Oracle i innych dużych organizacjach technologicznych. Co skłoniło Cię do podjęcia tego wyzwania na tym etapie kariery i jakie były Twoje pierwsze priorytety, kiedy obejmowałeś stanowisko dyrektora generalnego firmy?
Spędziłem swoją karierę na styku technologii, strategii i ryzyka, pomagając organizacjom radzić sobie w momentach, gdy stawka jest wysoka, a otoczenie szybko się zmienia. To, co przyciągnęło mnie do HackerOne, to fakt, że znów znajdujemy się w takim punkcie zwrotnym, ponieważ sztuczna inteligencja zmienia krajobraz cyberbezpieczeństwa.
Bezpieczeństwo nie jest już funkcją zaplecza – to kluczowy czynnik zaufania, odporności i dynamiki biznesowej. Przedsiębiorstwa działają teraz w oparciu o głęboko połączone systemy, stały przepływ danych i zautomatyzowane podejmowanie decyzji na niespotykaną dotąd skalę. Sztuczna inteligencja przyspiesza innowacje, ale wprowadza również nowe łączenia, zależności i tryby awarii, z którymi tradycyjne modele bezpieczeństwa nie były w stanie sobie poradzić.
Dlatego misja HackerOne jest teraz tak ważna. Naszą misją jest umożliwienie światu budowania bezpieczniejszego internetu, a w świecie napędzanym przez sztuczną inteligencję ta misja nigdy nie była bardziej pilna. HackerOne wyróżnia się tym, że łączymy globalną społeczność badaczy bezpieczeństwa z inteligencją platformy, aby znajdować i naprawiać luki w zabezpieczeniach, zanim atakujący będą mogli je wykorzystać. Ten model zaangażowania człowieka w proces jest nie tylko wyjątkowy – jest wręcz niezbędny.
Od pierwszego dnia koncentrowałem się na trzech priorytetach: rozbudowie możliwości naszej platformy agentowej, inwestowaniu w naszą społeczność badaczy oraz pogłębianiu zaufania klientów i partnerów. Oznacza to skalowanie red teamingu AI, przekształcenie Hai z drugiego pilota w skoordynowany zespół agentów AI, który pomaga organizacjom w ciągłym priorytetyzowaniu, walidacji i szybszym usuwaniu ryzyka, a także wdrożenie HackerOne Code w celu zabezpieczenia oprogramowania na wcześniejszym etapie cyklu rozwoju. Obecnie ponad 90% naszych klientów korzysta z Hai, aby przyspieszyć proces walidacji i usuwania luk w zabezpieczeniach.
Krajobraz dynamicznie się zmienia, ale nasz cel jest niezmienny: ograniczać ryzyko, zanim Cię zdefiniuje. W HackerOne oznacza to, że bezpieczeństwo musi być ciągłe, praktyczne i dostosowane do tempa nowoczesnych innowacji.
HackerOne odnotował 200-procentowy wzrost w zakresie testów penetracyjnych i tworzenia zespołów red teamingowych AI, a także strategiczne przejście w kierunku ciągłego zarządzania narażeniem na zagrożenia. W jaki sposób te trendy zmieniają długoterminową wizję firmy i co ta dynamika sygnalizuje w kontekście przyszłości bezpieczeństwa przedsiębiorstw?
To, co obserwujemy, to nie skok – to reset. Dwustuprocentowy wzrost liczby testów penetracyjnych i działań red teamingowych w obszarze sztucznej inteligencji (AI) potwierdza, że zabezpieczenia punktowe po prostu nie nadążają za tempem zmian zachodzących we współczesnych przedsiębiorstwach.
Ta rzeczywistość kształtuje naszą długoterminową wizję ciągłego zarządzania narażeniem na zagrożenia w całym cyklu życia – od kodu i chmury po systemy sztucznej inteligencji. Ponieważ sztuczna inteligencja przyspiesza zarówno innowacje, jak i szybkość ataków, wyzwaniem nie jest znajdowanie luk w zabezpieczeniach, ale udowodnienie, co jest podatne na wykorzystanie, nadanie priorytetu temu, co najważniejsze, i szybkie ich usunięcie. Budujemy platformę, która łączy ciągłe testowanie, autonomiczną walidację, inteligentną priorytetyzację i ludzkie doświadczenie, aby to osiągnąć.
Dla liderów przedsiębiorstw sygnał jest jasny: bezpieczeństwo staje się ciągłą dyscypliną biznesową, a nie okresowym audytem. Firmy, które osiągną lepsze wyniki, to te, które wcześniej zidentyfikują ryzyko, zareagują szybciej i ograniczą ryzyko, zanim stanie się ono problemem biznesowym. Ta zmiana definiuje przyszłość bezpieczeństwa przedsiębiorstw.
W jaki sposób Twój system sztucznej inteligencji Hai integruje się z procesem wykrywania luk w zabezpieczeniach i w jakich obszarach zapewnia największe korzyści badaczom i klientom?
Hai to skoordynowany zespół agentów AI, wbudowanych bezpośrednio w proces zarządzania lukami w zabezpieczeniach, który stale analizuje i kontekstualizuje wyniki, pomagając organizacjom szybciej priorytetyzować, weryfikować i naprawiać zagrożenia. Działa on w całym cyklu życia raportu, działając jako multiplikator siły dla obrońców w miarę wzrostu liczby zgłoszeń i złożoności zagrożeń.
Hai zapewnia największą dźwignię, eliminując szum informacyjny. Poprawia triaż i zrozumienie poprzez podsumowywanie raportów, identyfikowanie wzorców, weryfikację ustaleń i podkreślanie problemów, które najprawdopodobniej będą miały największe znaczenie. Z naszych badań wynika, że 20% użytkowników oszczędza od 6 do 10 godzin tygodniowo, znacznie skracając drogę od wykrycia do pewnego rozwiązania.
Korzyści odnoszą również naukowcy. ponad połowa z nich korzysta obecnie w swojej pracy ze sztucznej inteligencji lub automatyzacji, Hai pomaga im tworzyć solidniejsze dowody koncepcji, jaśniejsze wyjaśnienia i bardziej spójną walidację.
Jakie nowe kategorie luk w zabezpieczeniach pojawiły się w ciągu ostatniego roku w związku z coraz intensywniejszym wdrażaniem przez przedsiębiorstwa sztucznej inteligencji w ramach swoich stosów oprogramowania?
Wraz z wbudowywaniem sztucznej inteligencji w produkty i procesy, obserwujemy pojawianie się nowych kategorii luk w zabezpieczeniach na znaczącą skalę. W naszym najnowszym raporcie „Hacker-Powered Security Report” liczba ważnych zgłoszeń dotyczących luk w zabezpieczeniach sztucznej inteligencji wzrosła o 210% rok do roku, a prawie 80% dyrektorów ds. bezpieczeństwa informacji (CISO) uwzględnia obecnie zasoby sztucznej inteligencji w zakresie testów bezpieczeństwa. Najbardziej widocznym problemem jest natychmiastowe wstrzyknięcie. wzrasta o ponad połowę rok do rokui pozostaje jednym z najczęstszych sposobów, w jaki atakujący wpływają na zachowanie modelu. Obserwujemy również wzrost liczby przypadków manipulacji modelem, niebezpiecznego przetwarzania danych wyjściowych, zatruwania danych oraz słabości związanych z danymi szkoleniowymi i zarządzaniem odpowiedziami.
To, co czyni te ryzyka szczególnie doniosłymi, to fakt, że wpływają one nie tylko na systemy, ale także na decyzje, przepływy pracy i zaufanie klientów. Sztuczna inteligencja wprowadza ścieżki awarii, których tradycyjne testy nie obejmują w pełni. Wraz z wdrażaniem tych systemów w środowisku produkcyjnym i ich rosnącym znaczeniem operacyjnym, dedykowane i ciągłe testy bezpieczeństwa sztucznej inteligencji będą odgrywać coraz ważniejszą rolę w programach bezpieczeństwa przedsiębiorstw.
Nasze podejście łączy automatyzację opartą na sztucznej inteligencji, która umożliwia skalowanie wykrywania i wykrywania wzorców, z wiedzą specjalistyczną, co pozwala na wykrywanie subtelnych usterek, nowych słabości i wpływu na rzeczywisty świat — dzięki czemu osoby odpowiedzialne za obronę mogą działać z taką samą szybkością i skalą jak atakujący.
W miarę jak globalna społeczność badaczy się rozrasta, w jaki sposób udaje się Państwu utrzymać zaufanie, jakość i uczciwość, a jednocześnie realizować zobowiązania do różnorodności i integracji w tak dużym ekosystemie, którego siłą napędową jest rzesza ludzi?
Zaufanie jest fundamentem modelu bezpieczeństwa opartego na społeczności i musi być budowane świadomie, w miarę rozwoju społeczności. Dla nas zaczyna się to od jasnych standardów, spójnych zachęt i silnego zarządzania.
Nasza społeczność składa się ze sprawdzonych badaczy ds. bezpieczeństwa, którzy współpracują z klientami w celu identyfikowania, weryfikowania i usuwania rzeczywistych luk w zabezpieczeniach szerokiej gamy technologii.
Dbamy o jakość i uczciwość, łącząc inteligencję platformy z nadzorem ludzkim — weryfikując wyniki, egzekwując jednolite zasady współpracy i nagradzając badaczy za ich wpływ, a nie za doświadczenie, lokalizację czy staż pracy. Systemy reputacji, transparentna selekcja i spójne modele wypłat zapewniają rozliczalność po obu stronach rynku.
Jesteśmy głęboko zaangażowani w sukces badaczy. Poprzez onboarding, szkolenia i jasne ścieżki rozwoju pomagamy nowym badaczom rozwijać umiejętności i budować wiarygodność. W ciągu ostatnich sześciu lat 50 badaczy zarobiło na naszej platformie ponad 1 milion dolarów — mocny sygnał zarówno o jakości pracy, jak i o uczciwości modelu.
Różnorodność i integracja to nie oddzielne inicjatywy; stanowią one fundament siły ekosystemu. Wyzwania bezpieczeństwa mają charakter globalny, a zróżnicowane perspektywy ujawniają różne ścieżki ataków i słabe punkty. Rezultatem jest zaufana, wydajna społeczność, która wraz z rozwojem staje się silniejsza, a nie bardziej rozdrobniona.
Jakie zabezpieczenia wdrożyła firma HackerOne, aby mieć pewność, że wykrywanie luk w zabezpieczeniach przy pomocy sztucznej inteligencji pozostanie odpowiedzialne i nie będzie stronnicze ani nie będzie nadużywane?
Na naszej platformie agenci AI zostali zaprojektowani tak, aby zwiększać przejrzystość, weryfikować ustalenia i przyspieszać działania naprawcze — podczas gdy ludzie pozostają odpowiedzialni za decyzje dotyczące akceptacji, powagi i reakcji.
Stosujemy te same standardy, których oczekujemy od klientów. Wykorzystujemy nasze możliwości sztucznej inteligencji wewnętrznie, stale je testujemy w rzeczywistych procesach i nagradzamy naszą społeczność badaczy za identyfikowanie istotnych luk w zabezpieczeniach naszych własnych rozwiązań. To tworzy ścisłą pętlę sprzężenia zwrotnego, która pozwala na wczesne wykrywanie stronniczości, niespójności i nadużyć.
W miarę jak sztuczna inteligencja staje się coraz bardziej obecna w operacjach bezpieczeństwa, naszym celem jest ustalenie standardów, którym zespoły mogą zaufać — opartych na przejrzystości, ciągłym testowaniu i ludzkiej odpowiedzialności.
Wzrost liczby wykrywanych luk i nagród za ich wykrywanie o 120% sugeruje znaczące zmiany w krajobrazie zagrożeń. Czy interpretuje Pan to jako postęp w wykrywaniu, czy też sygnał, że oprogramowanie korporacyjne staje się coraz bardziej ryzykowne?
I o to właśnie chodzi, i o jedno i o drugie.
Wzrost ten odzwierciedla rzeczywisty postęp w wykrywaniu zagrożeń. Badacze odkrywają więcej skutecznych i wysokiej jakości luk, a wyższe nagrody pokazują, że przedsiębiorstwa cenią sobie identyfikowanie i naprawianie realnych zagrożeń. Więcej odkryć nie oznacza automatycznie, że oprogramowanie jest bardziej ryzykowne – oznacza to, że w końcu widać narażenie na zagrożenia.
Jednocześnie oprogramowanie korporacyjne staje się coraz bardziej złożone i powiązane. Sztuczna inteligencja, zależności od rozwiązań zewnętrznych i szybsze cykle wydawnicze zwiększają powierzchnię ataku szybciej, niż tradycyjne mechanizmy kontroli były w stanie obsłużyć.
Wniosek jest prosty: ryzyko jest dynamiczne, a bezpieczeństwo również musi takie być. Najbardziej odporne organizacje zakładają, że ryzyko jest nieuniknione i nieustannie koncentrują się na naprawianiu tego, co naprawdę ważne.
Jakie widzisz największe wyzwanie dla platform bezpieczeństwa opartych na crowdsourcingu w ciągu najbliższych kilku lat, w miarę jak sztuczna inteligencja będzie stawać się coraz bardziej wszechstronna?
Największym wyzwaniem na każdej platformie bezpieczeństwa jest utrzymanie sygnału i zaufania przy rosnących prędkościach i skalach.
Wraz ze spadkiem bariery odkrycia przez sztuczną inteligencję, platformy odnotują wzrost wolumenu zautomatyzowanych i hybrydowych przepływów pracy. Ryzyko nie polega na zbyt małej liczbie odkryć — to hałas przytłaczający klientów i nieadekwatne zachęty podważające zaufanie.
Platformy, które odniosą sukces, to te, które zweryfikują podatność na wykorzystanie, priorytetyzują wpływ i dostosują nagrody do rezultatów – przy jednoczesnym zachowaniu silnego zarządzania i odpowiedzialności człowieka. Przyszłość nie polega na znajdowaniu kolejnych problemów, ale na szybszym znajdowaniu właściwych i przekształcaniu wniosków w działania, zanim pojawią się problemy biznesowe.
Czy przewidujesz, że HackerOne rozszerzy swoją działalność poza wykrywanie luk w zabezpieczeniach na takie obszary jak ciągły monitoring, naprawa wspomagana sztuczną inteligencją lub predykcyjne modelowanie zagrożeń?
Skupiamy się na rozwiązywaniu podstawowego problemu, z jakim borykają się przedsiębiorstwa: zrozumieniu i ograniczeniu realnego ryzyka w ciągle zmieniającym się otoczeniu.
Oznacza to naturalnie wyjście poza wykrywanie zagrożeń w danym momencie. Działamy już w całym cyklu życia zagrożenia, od współpracy z zespołem ds. kodu i sztucznej inteligencji (red teaming), poprzez walidację i priorytetyzację, i będziemy nadal inwestować w rozwiązania, które pomogą klientom wcześniej dostrzec zagrożenie, szybciej zrozumieć jego skutki i doprowadzić do jego zamknięcia.
Sztuczna inteligencja odgrywa kluczową rolę w tej ewolucji – szczególnie w ustalaniu priorytetów i przyspieszaniu przepływów pracy – ale zawsze w centrum uwagi pozostaje odpowiedzialność człowieka. Naszą gwiazdą przewodnią jest ciągłe, praktyczne bezpieczeństwo, które dotrzymuje kroku nowoczesnym innowacjom.
W jaki sposób HackerOne planuje utrzymać przewagę i zadbać o to, aby narzędzia obronne ewoluowały równie szybko, skoro przeciwnicy coraz częściej stosują sztuczną inteligencję?
Wyprzedzamy naszych przeciwników, działając tam, gdzie pojawiają się prawdziwe ataki. Nasza globalna społeczność badaczy testuje już techniki oparte na sztucznej inteligencji w rzeczywistych środowiskach, dając nam wczesny wgląd w to, jak faktycznie działają przeciwnicy.
Łączymy tę ludzką wiedzę z automatyzacją opartą na sztucznej inteligencji, aby skalować wykrywanie, walidację, priorytetyzację i naprawę. Co równie ważne, stale testujemy naszą platformę, stosując te same metody „red teaming” oparte na sztucznej inteligencji, które oferujemy klientom.
Celem nie jest przewidywanie każdego nowego ataku, ale zbudowanie systemu, który uczy się szybciej niż atakujący. W ten sposób narzędzia obronne dotrzymują kroku zagrożeniom napędzanym przez sztuczną inteligencję.
Dziękujemy za wspaniały wywiad — czytelnicy, którzy chcą dowiedzieć się więcej o tym, jak firma wykorzystuje wiedzę specjalistyczną i zabezpieczenia oparte na sztucznej inteligencji, aby pomóc organizacjom identyfikować i ograniczać ryzyko w świecie rzeczywistym, zanim stanie się ono problemem biznesowym, mogą odwiedzić stronę HackerOne.
