Kara Sprague, VD för HackerOne – Intervjuserie

Kara Sprague, VD för HackerOne, är en erfaren teknikchef med mer än två decenniers erfarenhet inom produktledning, allmän ledning och strategisk konsultverksamhet inom programvaru- och säkerhetssektorerna. Hon tillträdde VD-rollen i november 2024 efter att ha haft ledande befattningar på F5, inklusive som vice vd och produktchef, där hon ledde stora produkt- och plattformsinitiativ, samt tidigare chefsroller med ansvar för storskaliga företag. Innan F5 arbetade hon i över ett decennium som partner på McKinsey & Company, där hon rådgav ledande teknikföretag om tillväxt och strategi, och började sin karriär som teknisk medarbetare på Oracle. Vid sidan av sin roll på HackerOne sitter hon även i styrelsen för Trimble Inc.

HackerOne är ett cybersäkerhetsföretag som är mest känt för att vara banbrytande inom hackerdriven säkerhet, och kopplar samman organisationer med en global gemenskap av etiska hackare för att identifiera och åtgärda sårbarheter innan de kan utnyttjas. Plattformen stöder företag och myndigheter genom bug bounty-program, sårbarhetsavslöjande, penetrationstester och säkerhetstesttjänster som kombinerar mänsklig expertis med automatisering och AI-drivna arbetsflöden. Genom att flytta säkerheten från en reaktiv till en proaktiv modell har HackerOne blivit en viktig del av den moderna applikationssäkerhetsstacken för organisationer som vill minska risker och förbättra motståndskraften i stor skala.

Du tillträdde rollen som VD för HackerOne i november 2024 efter årtionden av ledarskap inom F5, McKinsey, Oracle och andra stora teknikorganisationer. Vad lockade dig att anta denna utmaning i detta skede av din karriär, och vilka var de första prioriteringarna du satte när du började leda företaget?

Jag har tillbringat min karriär i skärningspunkten mellan teknologi, strategi och risk, där jag har hjälpt organisationer att navigera i stunder när insatserna är höga och miljön förändras snabbt. Det som lockade mig till HackerOne är att vi befinner oss vid just den typen av brytpunkt igen när AI omformar cybersäkerhetslandskapet.

Säkerhet är inte längre en funktion på kontoret – det är en central drivkraft för förtroende, motståndskraft och affärshastighet. Företag arbetar nu med djupt sammankopplade system, konstanta dataflöden och automatiserat beslutsfattande i en aldrig tidigare skådad skala. AI accelererar innovation, men introducerar också nya sömmar, beroenden och fellägen som traditionella säkerhetsmodeller inte var byggda för att hantera.

Det är därför HackerOnes uppdrag är så viktigt just nu. Vårt uppdrag är att ge världen möjlighet att bygga ett säkrare internet, och i en AI-driven värld har det uppdraget aldrig varit mer brådskande. HackerOne är annorlunda eftersom vi kombinerar en global gemenskap av forskare inom mänsklig säkerhet med plattformsintelligens för att hitta och åtgärda sårbarheter innan angripare kan utnyttja dem. Den där "människokopplingen"-modellen är inte bara differentierad – den är avgörande.

Från dag ett fokuserade jag på tre prioriteringar: att utöka vår agentplattformskapacitet, investera i vår forskargemenskap och fördjupa förtroendet hos kunder och partners. Det innebär att skala upp AI-red teaming, utveckla Hai från en copilot till ett samordnat team av AI-agenter som hjälper organisationer att kontinuerligt prioritera, validera och åtgärda risker snabbare, och lansera HackerOne Code för att säkra programvara tidigare i utvecklingscykeln. Idag använder mer än 90 % av våra kunder Hai för att påskynda sitt arbete med att validera och åtgärda sårbarheter.

Landskapet utvecklas snabbt, men vårt fokus är konstant: begränsa risker innan de definierar dig. På HackerOne innebär det att göra säkerheten kontinuerlig, praktisk och byggd för modern innovationstakt.

HackerOne har sett både en ökning med 200 % av penetrationstestning och AI-red teaming, samt ett strategiskt skifte mot kontinuerlig hantering av hotexponering. Hur omformar dessa trender er långsiktiga vision för företaget, och vad signalerar denna utveckling om framtiden för företagssäkerhet?

Det vi ser är inte en topp – det är en återställning. En ökning på 200 % av penetrationstestning och AI-red teaming bekräftar att säkerhet vid olika tidpunkter helt enkelt inte kan hålla jämna steg med hur snabbt moderna företag förändras.

Den verkligheten formar vår långsiktiga vision kring kontinuerlig hantering av hotbilder under hela livscykeln – från kod och moln till AI-system. I takt med att AI accelererar både innovation och attackhastighet är utmaningen inte att hitta sårbarheter; den är att bevisa vad som kan utnyttjas, prioritera det som är viktigast och åtgärda det snabbt. Vi bygger en plattform som kombinerar kontinuerlig testning, autonom validering, intelligent prioritering och mänsklig expertis för att göra just det.

För företagsledare är signalen tydlig: säkerhet håller på att bli en kontinuerlig affärsdisciplin, inte en periodisk granskning. De företag som presterar bättre kommer att vara de som identifierar risker tidigare, agerar snabbare och begränsar exponeringen innan den blir ett affärsproblem. Den förändringen definierar framtiden för företagssäkerhet.

Hur integreras ert AI-system Hai i arbetsflödet för att upptäcka sårbarheter, och var ger det störst hävstångseffekt för forskare och kunder?

Hai är ett samordnat team av AI-agenter som är direkt integrerade i arbetsflödet för sårbarhetshantering för att kontinuerligt analysera och kontextualisera resultat för att hjälpa organisationer att prioritera, validera och åtgärda risker snabbare. Det fungerar under hela rapportens livscykel och fungerar som en kraftmultiplikator för försvarare i takt med att volymerna ökar och hoten blir mer komplexa.

Hai ger störst effekt genom att minska brus. Det förbättrar triage och förståelse genom att sammanfatta rapporter, identifiera mönster, validera resultat och lyfta fram de problem som sannolikt är viktigast. Vår forskning visar att 20 % av användarna sparar 6 till 10 timmar varje vecka, vilket avsevärt förkortar vägen från upptäckt till säker åtgärd.

Forskare gynnas också. Med mer än hälften av dem använder nu AI eller automatisering i sitt arbete, Hai hjälper dem att producera starkare konceptbevis, tydligare förklaringar och mer konsekvent validering.

Vilka nya kategorier av sårbarheter har uppstått under det senaste året i takt med att företag använder AI mer aggressivt i sina programvarusystem?

I takt med att AI integreras i produkter och arbetsflöden ser vi nya sårbarhetskategorier dyka upp i betydande skala. I vår senaste rapport om hackerdriven säkerhet ökade giltiga rapporter om AI-sårbarheter med 210 % jämfört med föregående år och nästan 80 % av CISO:er inkluderar nu AI-tillgångar i säkerhetstestning. Prompt injection har varit den mest synliga, ökar med mer än ett halvår jämfört med föregående år, och är fortfarande ett av de vanligaste sätten som angripare påverkar modellers beteende. Vi ser också en ökning av modellmanipulation, osäker utdatahantering, dataförgiftning och svagheter kopplade till träningsdata och svarshantering.

Det som gör dessa risker särskilt betydelsefulla är att de inte bara påverkar system – de påverkar beslut, arbetsflöden och kundernas förtroende. AI introducerar felvägar som traditionell testning inte helt täcker. I takt med att dessa system driftsätts i produktion och blir mer operativt kritiska, kommer dedikerad och kontinuerlig AI-säkerhetstestning att bli alltmer central för företagens säkerhetsprogram.

Vår metod kombinerar AI-driven automatisering för att skala upp upptäckt och mönsterdetektering med mänsklig expertis för att avslöja subtila fel, nya svagheter och verkliga effekter – vilket gör att försvarare kan agera i samma hastighet och skala som angripare.

I takt med att den globala forskargemenskapen expanderar, hur upprätthåller ni förtroende, kvalitet och rättvisa samtidigt som ni främjar era åtaganden för mångfald och inkludering i ett så stort, folkdrivet ekosystem?

Förtroende är grunden för en säkerhetsmodell som drivs av allmänheten, och det måste byggas medvetet allt eftersom gemenskapen skalar upp. För oss börjar det med tydliga standarder, konsekventa incitament och stark styrning.

Vårt nätverk består av granskade säkerhetsforskare som samarbetar med kunder för att identifiera, validera och åtgärda verkliga sårbarheter inom en mängd olika tekniker.

Vi upprätthåller kvalitet och rättvisa genom att kombinera plattformsinformation med mänsklig tillsyn – validerar resultat, tillämpar enhetliga regler för engagemang och belönar forskare baserat på genomslagskraft, inte bakgrund, geografi eller anställningstid. Ryktessystem, transparent prioritering och konsekventa utbetalningsmodeller skapar ansvarsskyldighet på båda sidor av marknaden.

Vi är djupt engagerade i forskares framgång. Genom onboarding, utbildning och tydliga utvecklingsvägar hjälper vi nya forskare att bygga upp färdigheter och trovärdighet. Under de senaste sex åren, 50 forskare har tjänat mer än 1 miljon dollar var på vår plattform — en kraftfull signal om både arbetets kaliber och modellens rättvisa.

Mångfald och inkludering är inte separata initiativ; de är centrala för ekosystemets styrka. Säkerhetsutmaningar är globala, och olika perspektiv lyfter fram olika attackvägar och blinda fläckar. Resultatet är en betrodd, högpresterande gemenskap som blir starkare – inte mer fragmenterad – allt eftersom den växer.

Vilka skyddsåtgärder har HackerOne infört för att säkerställa att AI-assisterad upptäckt av sårbarheter förblir ansvarsfull och undviker partiskhet eller missbruk?

På vår plattform är AI-agenter utformade för att förbättra tydlighet, validera resultat och påskynda åtgärdande – medan människor förblir ansvariga för beslut kring acceptans, allvarlighetsgrad och respons.

Vi har samma krav som vi förväntar oss av våra kunder. Vi använder våra AI-funktioner internt, trycktestar dem kontinuerligt i verkliga arbetsflöden och belönar vår forskargrupp för att identifiera sårbarheter med stor inverkan i våra egna lösningar. Det skapar en tät återkopplingsslinga som tidigt avslöjar partiskhet, inkonsekvens eller missbruk.

I takt med att AI blir mer integrerad i säkerhetsverksamhet är vårt mål att sätta en ribba som team kan lita på – grundad i transparens, kontinuerlig testning och mänskligt ansvar.

En ökning med 120 % i antal sårbarhetsfynd och belöningar tyder på stora förändringar i hotbilden. Tolkar du detta som framsteg inom upptäckt eller ett tecken på att företagsprogramvara blir alltmer riskfylld?

Det är båda – och det är poängen.

Ökningen återspeglar verkliga framsteg inom upptäckt. Forskare upptäcker fler åtgärdbara svagheter av hög kvalitet, och ökade belöningar visar att företag värdesätter att upptäcka och åtgärda verkliga risker. Fler resultat betyder inte automatiskt att programvara är mer riskfylld – de betyder att exponeringen äntligen är synlig.

Samtidigt blir företagsprogramvara mer komplex och sammankopplad. AI, tredjepartsberoenden och snabbare releasecykler utökar attackytan snabbare än traditionella kontroller var utformade för att hantera.

Slutsatsen är enkel: risk är dynamisk, och säkerhet måste också vara det. De mest motståndskraftiga organisationerna antar att exponering är oundviklig och fokuserar obevekligt på att åtgärda det som faktiskt är viktigt.

Vad ser du som den största utmaningen för crowdsourcade säkerhetsplattformar under de kommande åren i takt med att AI blir mer kapabel?

Den största utmaningen i alla säkerhetsplattformar är att upprätthålla signal och förtroende i takt med att hastighet och skala ökar.

I takt med att AI sänker barriären för upptäckt kommer plattformar att se en ökning av volymen från automatiserade och hybrida arbetsflöden. Risken är inte för få fynd – det är buller som överväldigar kunderna och felaktigt anpassade incitament som urholkar förtroendet.

De plattformar som lyckas kommer att vara de som validerar utnyttjandegrad, prioriterar effekt och anpassar belöningar till resultat – samtidigt som de upprätthåller stark styrning och mänskligt ansvarstagande. Framtiden handlar inte om att hitta fler problem; det handlar om att hitta rätt problem snabbare och omsätta insikter i handling innan affärsproblem kan uppstå.

Ser du för dig att HackerOne kommer att expandera bortom sårbarhetsupptäckt till områden som kontinuerlig övervakning, AI-driven sanering eller prediktiv hotmodellering?

Vårt fokus är att lösa de kärnproblem som företag står inför: att förstå och begränsa verkliga risker i ständigt föränderliga miljöer.

Det innebär naturligtvis att gå bortom upptäckt vid specifika tidpunkter. Vi arbetar redan med hela exponeringslivscykeln, från kod och AI-teaming till validering och prioritering, och vi kommer att fortsätta investera i funktioner som hjälper kunder att se exponering tidigare, förstå effekter snabbare och driva åtgärd till avslut.

AI spelar en central roll i den utvecklingen – särskilt inom prioritering och snabbare arbetsflöden – men alltid med mänskligt ansvar i centrum. Vår högsta punkt är kontinuerlig, praktisk säkerhet som håller jämna steg med modern innovation.

I takt med att motståndare i allt större utsträckning använder AI, hur planerar HackerOne att ligga steget före och säkerställa att defensiva verktyg utvecklas lika snabbt?

Vi ligger steget före våra motståndare genom att agera där verkliga attacker uppstår. Vårt globala forskarsamhälle testar redan AI-aktiverade tekniker mot verkliga miljöer, vilket ger oss tidig inblick i hur motståndare faktiskt agerar.

Vi kombinerar den mänskliga insikten med AI-driven automatisering för att skala upp upptäckt, validering, prioritering och åtgärdande. Lika viktigt är att vi kontinuerligt trycktestar vår egen plattform med samma AI-teaming-metoder som vi erbjuder kunderna.

Målet är inte att förutsäga varje ny attack – det är att bygga ett system som lär sig snabbare än angripare gör. Det är så defensiva verktyg håller jämna steg i ett AI-drivet hotlandskap.

Tack för den fantastiska intervjun – läsare som vill veta mer om hur företaget använder mänsklig expertis och AI-driven säkerhet för att hjälpa organisationer att identifiera och begränsa verkliga risker innan de blir ett affärsproblem kan besöka HackerOne.