Phỏng vấn
Kara Sprague, CEO của HackerOne – Loạt bài phỏng vấn
Kara Sprague, Giám đốc điều hành của HackerOne, là một nhà điều hành công nghệ kỳ cựu với hơn hai thập kỷ kinh nghiệm trong lĩnh vực lãnh đạo sản phẩm, quản lý chung và tư vấn chiến lược trong ngành phần mềm và bảo mật. Bà đảm nhiệm vai trò Giám đốc điều hành vào tháng 11 năm 2024 sau khi giữ các vị trí điều hành cấp cao tại F5, bao gồm Phó Chủ tịch điều hành và Giám đốc sản phẩm, nơi bà dẫn dắt các sáng kiến sản phẩm và nền tảng quan trọng, cũng như các vai trò quản lý chung trước đó giám sát các doanh nghiệp quy mô lớn. Trước khi gia nhập F5, bà đã có hơn một thập kỷ làm đối tác tại McKinsey & Company, tư vấn cho các công ty công nghệ hàng đầu về tăng trưởng và chiến lược, và bắt đầu sự nghiệp với tư cách là thành viên kỹ thuật tại Oracle. Bên cạnh vai trò tại HackerOne, bà cũng là thành viên hội đồng quản trị của Trimble Inc.
HackerOne HackerOne là một công ty an ninh mạng nổi tiếng với vai trò tiên phong trong lĩnh vực bảo mật dựa trên sức mạnh của hacker, kết nối các tổ chức với cộng đồng hacker đạo đức toàn cầu để xác định và khắc phục các lỗ hổng trước khi chúng bị khai thác. Nền tảng này hỗ trợ các doanh nghiệp và chính phủ thông qua các chương trình tìm lỗi bảo mật, công bố lỗ hổng, kiểm thử xâm nhập và các dịch vụ kiểm thử bảo mật kết hợp chuyên môn của con người với tự động hóa và quy trình làm việc dựa trên trí tuệ nhân tạo. Bằng cách chuyển đổi bảo mật từ mô hình phản ứng sang mô hình chủ động, HackerOne đã trở thành một phần quan trọng của hệ thống bảo mật ứng dụng hiện đại dành cho các tổ chức muốn giảm thiểu rủi ro và cải thiện khả năng phục hồi trên quy mô lớn.
Ông đảm nhận vai trò CEO tại HackerOne vào tháng 11 năm 2024 sau nhiều thập kỷ lãnh đạo tại F5, McKinsey, Oracle và các tổ chức công nghệ lớn khác. Điều gì đã thôi thúc ông chấp nhận thử thách này ở giai đoạn này trong sự nghiệp, và những ưu tiên hàng đầu ông đặt ra khi bắt đầu lãnh đạo công ty là gì?
Tôi đã dành cả sự nghiệp của mình ở giao điểm của công nghệ, chiến lược và rủi ro, giúp các tổ chức vượt qua những thời điểm rủi ro cao và môi trường thay đổi nhanh chóng. Điều thu hút tôi đến với HackerOne là chúng ta đang ở đúng thời điểm bước ngoặt đó một lần nữa khi trí tuệ nhân tạo (AI) đang định hình lại bối cảnh an ninh mạng.
Bảo mật không còn là chức năng hỗ trợ phía sau nữa — nó là yếu tố cốt lõi tạo nên sự tin cậy, khả năng phục hồi và tốc độ kinh doanh. Các doanh nghiệp hiện đang vận hành trên các hệ thống liên kết chặt chẽ, luồng dữ liệu liên tục và quá trình ra quyết định tự động ở quy mô chưa từng có. Trí tuệ nhân tạo (AI) đang thúc đẩy sự đổi mới, nhưng nó cũng tạo ra những điểm yếu, sự phụ thuộc và các chế độ lỗi mới mà các mô hình bảo mật truyền thống không được thiết kế để xử lý.
Đó là lý do tại sao sứ mệnh của HackerOne lại quan trọng đến vậy ngay lúc này. Sứ mệnh của chúng tôi là giúp thế giới xây dựng một internet an toàn hơn, và trong một thế giới do trí tuệ nhân tạo (AI) dẫn dắt, sứ mệnh đó chưa bao giờ cấp thiết hơn thế. HackerOne khác biệt bởi vì chúng tôi kết hợp cộng đồng các nhà nghiên cứu bảo mật toàn cầu với trí tuệ nền tảng để tìm và khắc phục các lỗ hổng trước khi kẻ tấn công có thể khai thác chúng. Mô hình có sự tham gia của con người này không chỉ tạo nên sự khác biệt mà còn là yếu tố thiết yếu.
Ngay từ ngày đầu tiên, tôi đã tập trung vào ba ưu tiên: mở rộng khả năng nền tảng tác nhân AI của chúng tôi, đầu tư vào cộng đồng các nhà nghiên cứu và củng cố niềm tin với khách hàng và đối tác. Điều đó có nghĩa là mở rộng quy mô nhóm tấn công AI (AI red teaming), phát triển Hai từ một trợ lý ảo thành một nhóm tác nhân AI phối hợp giúp các tổ chức liên tục ưu tiên, xác thực và khắc phục rủi ro nhanh hơn, và ra mắt HackerOne Code để bảo mật phần mềm sớm hơn trong chu kỳ phát triển. Hiện nay, hơn 90% khách hàng của chúng tôi sử dụng Hai để đẩy nhanh công việc xác thực và sửa chữa các lỗ hổng bảo mật.
Bối cảnh đang thay đổi nhanh chóng, nhưng trọng tâm của chúng tôi vẫn không đổi: ngăn chặn rủi ro trước khi nó định hình bạn. Tại HackerOne, điều đó có nghĩa là làm cho bảo mật trở nên liên tục, thiết thực và phù hợp với tốc độ đổi mới hiện đại.
HackerOne đã chứng kiến sự tăng trưởng 200% trong lĩnh vực kiểm thử xâm nhập và tấn công mô phỏng bằng AI, cùng với sự chuyển dịch chiến lược hướng tới quản lý liên tục các mối đe dọa. Những xu hướng này đang định hình lại tầm nhìn dài hạn của công ty như thế nào, và động lực này báo hiệu điều gì về tương lai của an ninh doanh nghiệp?
Những gì chúng ta đang chứng kiến không phải là sự tăng đột biến — mà là một sự thiết lập lại. Sự gia tăng 200% trong kiểm thử xâm nhập và tấn công mô phỏng bằng AI xác nhận rằng bảo mật tại một thời điểm nhất định đơn giản là không thể theo kịp tốc độ thay đổi nhanh chóng của các doanh nghiệp hiện đại.
Thực tế đó đang định hình tầm nhìn dài hạn của chúng tôi về quản lý rủi ro liên tục trong toàn bộ vòng đời – từ mã nguồn và điện toán đám mây đến các hệ thống AI. Khi AI thúc đẩy cả sự đổi mới và tốc độ tấn công, thách thức không phải là tìm ra lỗ hổng; mà là chứng minh những gì có thể bị khai thác, ưu tiên những gì quan trọng nhất và khắc phục chúng nhanh chóng. Chúng tôi đang xây dựng một nền tảng kết hợp kiểm thử liên tục, xác thực tự động, ưu tiên thông minh và chuyên môn của con người để thực hiện chính xác điều đó.
Đối với các nhà lãnh đạo doanh nghiệp, tín hiệu rất rõ ràng: bảo mật đang trở thành một nguyên tắc kinh doanh liên tục, chứ không phải là một cuộc kiểm toán định kỳ. Những công ty hoạt động hiệu quả hơn sẽ là những công ty xác định rủi ro sớm hơn, hành động nhanh hơn và ngăn chặn rủi ro trước khi nó trở thành vấn đề kinh doanh. Sự thay đổi đó định hình tương lai của bảo mật doanh nghiệp.
Hệ thống AI Hai của bạn tích hợp vào quy trình phát hiện lỗ hổng như thế nào, và nó mang lại lợi ích lớn nhất cho các nhà nghiên cứu và khách hàng ở những khía cạnh nào?
Hai là một nhóm các tác nhân AI được phối hợp chặt chẽ, tích hợp trực tiếp vào quy trình quản lý lỗ hổng bảo mật để liên tục phân tích và đưa ra ngữ cảnh cho các phát hiện, giúp các tổ chức ưu tiên, xác thực và khắc phục rủi ro nhanh hơn. Nó hoạt động xuyên suốt vòng đời của một báo cáo, đóng vai trò như một yếu tố nhân rộng sức mạnh cho các nhà bảo mật khi khối lượng báo cáo tăng lên và các mối đe dọa trở nên phức tạp hơn.
Hai mang lại hiệu quả cao nhất bằng cách loại bỏ những thông tin nhiễu. Nó cải thiện khả năng phân loại và hiểu vấn đề bằng cách tóm tắt các báo cáo, xác định các mẫu, xác thực các phát hiện và làm nổi bật các vấn đề có khả năng quan trọng nhất. Nghiên cứu của chúng tôi cho thấy 20% người dùng tiết kiệm được từ 6 đến 10 giờ mỗi tuần. Rút ngắn đáng kể khoảng thời gian từ khi phát hiện đến khi khắc phục sự cố một cách hiệu quả.
Các nhà nghiên cứu cũng được hưởng lợi. Với Hơn một nửa trong số họ hiện đang sử dụng trí tuệ nhân tạo hoặc tự động hóa trong công việc.Hai giúp họ tạo ra những bằng chứng về tính khả thi mạnh mẽ hơn, những lời giải thích rõ ràng hơn và sự xác thực nhất quán hơn.
Những loại lỗ hổng bảo mật mới nào đã xuất hiện trong năm qua khi các doanh nghiệp tích cực áp dụng trí tuệ nhân tạo (AI) vào toàn bộ hệ thống phần mềm của mình?
Khi trí tuệ nhân tạo (AI) ngày càng được tích hợp vào các sản phẩm và quy trình làm việc, chúng ta đang chứng kiến sự xuất hiện của các loại lỗ hổng bảo mật mới với quy mô đáng kể. Trong Báo cáo Bảo mật do Hacker cung cấp mới nhất của chúng tôi, số lượng báo cáo lỗ hổng AI hợp lệ đã tăng 210% so với năm trước và gần 80% các Giám đốc An ninh Thông tin (CISO) hiện nay đưa các tài sản AI vào phạm vi kiểm tra bảo mật. Lỗ hổng tấn công bằng phương pháp tiêm mã nhanh (prompt injection) là lỗ hổng dễ thấy nhất. tăng hơn một nửa so với năm trướcvà vẫn là một trong những cách phổ biến nhất mà kẻ tấn công sử dụng để tác động đến hoạt động của mô hình. Chúng ta cũng đang chứng kiến sự gia tăng trong việc thao túng mô hình, xử lý đầu ra không an toàn, làm nhiễm độc dữ liệu và các điểm yếu liên quan đến dữ liệu huấn luyện và quản lý phản hồi.
Điều khiến những rủi ro này trở nên đặc biệt nghiêm trọng là chúng không chỉ ảnh hưởng đến hệ thống mà còn tác động đến các quyết định, quy trình làm việc và lòng tin của khách hàng. Trí tuệ nhân tạo (AI) tạo ra những con đường lỗi mà các phương pháp kiểm thử truyền thống không thể bao quát hết. Khi các hệ thống này được triển khai vào môi trường sản xuất và trở nên quan trọng hơn về mặt vận hành, việc kiểm thử bảo mật AI chuyên sâu và liên tục sẽ ngày càng trở nên trọng tâm trong các chương trình bảo mật của doanh nghiệp.
Phương pháp của chúng tôi kết hợp tự động hóa dựa trên trí tuệ nhân tạo để mở rộng khả năng phát hiện và nhận diện mẫu với chuyên môn của con người nhằm phát hiện ra những lỗi nhỏ, điểm yếu mới và tác động thực tế — cho phép người phòng thủ hoạt động với tốc độ và quy mô tương đương với kẻ tấn công.
Khi cộng đồng nghiên cứu toàn cầu ngày càng mở rộng, làm thế nào để duy trì sự tin tưởng, chất lượng và công bằng đồng thời thúc đẩy các cam kết về sự đa dạng và hòa nhập trong một hệ sinh thái rộng lớn dựa trên sức mạnh cộng đồng như vậy?
Niềm tin là nền tảng của mô hình an ninh dựa trên cộng đồng, và nó cần được xây dựng một cách có chủ đích khi cộng đồng phát triển. Đối với chúng tôi, điều đó bắt đầu bằng các tiêu chuẩn rõ ràng, các biện pháp khuyến khích nhất quán và quản trị mạnh mẽ.
Cộng đồng của chúng tôi bao gồm các nhà nghiên cứu bảo mật được kiểm duyệt kỹ lưỡng, những người hợp tác với khách hàng để xác định, xác thực và giúp khắc phục các lỗ hổng bảo mật thực tế trên nhiều công nghệ khác nhau.
Chúng tôi duy trì chất lượng và sự công bằng bằng cách kết hợp trí tuệ nền tảng với sự giám sát của con người — xác thực các phát hiện, thực thi các quy tắc tham gia thống nhất và khen thưởng các nhà nghiên cứu dựa trên tác động, chứ không phải xuất thân, địa lý hay thâm niên. Hệ thống đánh giá uy tín, quy trình sàng lọc minh bạch và mô hình thanh toán nhất quán tạo ra trách nhiệm giải trình ở cả hai phía của thị trường.
Chúng tôi hết sức quan tâm đến sự thành công của các nhà nghiên cứu. Thông qua quy trình hướng dẫn, đào tạo và lộ trình phát triển rõ ràng, chúng tôi giúp các nhà nghiên cứu mới xây dựng kỹ năng và uy tín. Trong sáu năm qua, 50 nhà nghiên cứu đã kiếm được hơn 1 triệu đô la mỗi người trên nền tảng của chúng tôi. — một tín hiệu mạnh mẽ cho thấy cả chất lượng công việc và tính công bằng của mô hình.
Sự đa dạng và hòa nhập không phải là những sáng kiến riêng biệt; chúng là cốt lõi tạo nên sức mạnh của hệ sinh thái. Các thách thức về an ninh mang tính toàn cầu, và các quan điểm đa dạng sẽ làm nổi bật các con đường tấn công và điểm mù khác nhau. Kết quả là một cộng đồng đáng tin cậy, hiệu quả cao, ngày càng mạnh mẽ hơn chứ không phải bị chia rẽ hơn khi phát triển.
HackerOne đã áp dụng những biện pháp bảo vệ nào để đảm bảo việc phát hiện lỗ hổng bảo mật bằng trí tuệ nhân tạo vẫn tuân thủ trách nhiệm và tránh thiên vị hoặc lạm dụng?
Trên toàn bộ nền tảng của chúng tôi, các tác nhân AI được thiết kế để cải thiện tính rõ ràng, xác thực các phát hiện và đẩy nhanh quá trình khắc phục — trong khi con người vẫn chịu trách nhiệm về các quyết định liên quan đến việc chấp nhận, mức độ nghiêm trọng và phản hồi.
Chúng tôi tự đặt ra những tiêu chuẩn tương tự như những gì chúng tôi mong đợi từ khách hàng. Chúng tôi sử dụng năng lực AI của mình nội bộ, liên tục kiểm tra chúng trong các quy trình làm việc thực tế và khen thưởng cộng đồng nghiên cứu của chúng tôi vì đã phát hiện ra các lỗ hổng có tác động lớn trong các giải pháp của chính chúng tôi. Điều đó tạo ra một vòng phản hồi chặt chẽ để sớm phát hiện ra sự thiên vị, không nhất quán hoặc lạm dụng.
Khi trí tuệ nhân tạo ngày càng được ứng dụng rộng rãi trong các hoạt động bảo mật, mục tiêu của chúng tôi là thiết lập một tiêu chuẩn mà các nhóm có thể tin tưởng — dựa trên tính minh bạch, thử nghiệm liên tục và trách nhiệm của con người.
Việc số lượng lỗ hổng bảo mật được phát hiện và phần thưởng tăng 120% cho thấy những thay đổi lớn trong bối cảnh mối đe dọa. Bạn hiểu điều này là tiến bộ trong việc phát hiện hay là dấu hiệu cho thấy phần mềm doanh nghiệp đang trở nên rủi ro hơn?
Nó vừa là cả hai — và đó chính là điểm mấu chốt.
Sự gia tăng này phản ánh tiến bộ thực sự trong việc phát hiện. Các nhà nghiên cứu đang phát hiện ra nhiều điểm yếu chất lượng cao, có thể khắc phục được, và phần thưởng tăng lên cho thấy các doanh nghiệp coi trọng việc phát hiện và sửa chữa rủi ro thực sự. Nhiều phát hiện hơn không tự động có nghĩa là phần mềm rủi ro hơn — mà có nghĩa là cuối cùng các lỗ hổng đã được nhìn thấy.
Đồng thời, phần mềm doanh nghiệp ngày càng trở nên phức tạp và liên kết chặt chẽ hơn. Trí tuệ nhân tạo (AI), các phụ thuộc của bên thứ ba và chu kỳ phát hành nhanh hơn đang mở rộng bề mặt tấn công nhanh hơn so với khả năng xử lý của các biện pháp kiểm soát truyền thống.
Tóm lại rất đơn giản: rủi ro là một quá trình năng động, và an ninh cũng phải như vậy. Những tổ chức kiên cường nhất luôn giả định rằng việc bị tấn công là không thể tránh khỏi và tập trung không ngừng vào việc khắc phục những vấn đề thực sự quan trọng.
Theo bạn, thách thức lớn nhất đối với các nền tảng bảo mật dựa trên cộng đồng trong vài năm tới khi trí tuệ nhân tạo ngày càng trở nên mạnh mẽ hơn là gì?
Thách thức lớn nhất trong bất kỳ nền tảng bảo mật nào là duy trì tín hiệu và sự tin cậy khi tốc độ và quy mô tăng lên.
Khi trí tuệ nhân tạo (AI) làm giảm rào cản trong việc tìm kiếm thông tin, các nền tảng sẽ chứng kiến sự gia tăng mạnh mẽ về khối lượng dữ liệu từ các quy trình làm việc tự động và kết hợp. Rủi ro không phải là số lượng kết quả tìm kiếm quá ít — mà là sự nhiễu loạn thông tin làm quá tải khách hàng và các động cơ không phù hợp làm xói mòn lòng tin.
Những nền tảng thành công sẽ là những nền tảng xác thực khả năng khai thác, ưu tiên tác động và gắn kết phần thưởng với kết quả — đồng thời duy trì quản trị chặt chẽ và trách nhiệm giải trình của con người. Tương lai không phải là tìm ra thêm vấn đề; mà là tìm ra những vấn đề đúng đắn nhanh hơn và biến những hiểu biết thành hành động trước khi các vấn đề kinh doanh phát sinh.
Bạn có hình dung HackerOne sẽ mở rộng hoạt động ngoài việc phát hiện lỗ hổng bảo mật sang các lĩnh vực như giám sát liên tục, khắc phục sự cố bằng trí tuệ nhân tạo hoặc mô hình dự đoán mối đe dọa không?
Mục tiêu của chúng tôi là giải quyết vấn đề cốt lõi mà các doanh nghiệp phải đối mặt: hiểu và kiểm soát rủi ro thực sự trong môi trường liên tục thay đổi.
Điều đó đương nhiên có nghĩa là vượt ra ngoài việc chỉ phát hiện lỗ hổng tại một thời điểm nhất định. Chúng tôi hiện đang vận hành xuyên suốt vòng đời của sự cố, từ việc kiểm thử mã nguồn và AI cho đến xác thực và ưu tiên, và chúng tôi sẽ tiếp tục đầu tư vào các khả năng giúp khách hàng phát hiện lỗ hổng sớm hơn, hiểu tác động nhanh hơn và thúc đẩy quá trình khắc phục đến khi hoàn tất.
Trí tuệ nhân tạo đóng vai trò trung tâm trong quá trình phát triển đó — đặc biệt là trong việc ưu tiên và tăng tốc quy trình làm việc — nhưng luôn luôn đặt trách nhiệm của con người làm trọng tâm. Mục tiêu hàng đầu của chúng tôi là đảm bảo an ninh liên tục, thiết thực và theo kịp những đổi mới hiện đại.
Trong bối cảnh các đối thủ ngày càng sử dụng trí tuệ nhân tạo, HackerOne dự định làm thế nào để luôn đi trước đón đầu và đảm bảo các công cụ phòng thủ cũng phát triển nhanh chóng theo kịp?
Chúng tôi luôn đi trước các đối thủ bằng cách hoạt động tại những nơi mà các cuộc tấn công thực sự xuất hiện. Cộng đồng nghiên cứu toàn cầu của chúng tôi đã và đang thử nghiệm các kỹ thuật hỗ trợ trí tuệ nhân tạo trong môi trường thực tế, giúp chúng tôi sớm nắm bắt được cách thức hoạt động thực sự của các đối thủ.
Chúng tôi kết hợp sự thấu hiểu của con người với tự động hóa dựa trên trí tuệ nhân tạo để mở rộng quy mô khám phá, xác thực, ưu tiên và khắc phục sự cố. Quan trọng không kém, chúng tôi liên tục kiểm tra độ bền của nền tảng bằng cách sử dụng cùng các phương pháp tấn công giả lập AI mà chúng tôi cung cấp cho khách hàng.
Mục tiêu không phải là dự đoán mọi cuộc tấn công mới — mà là xây dựng một hệ thống học hỏi nhanh hơn cả những kẻ tấn công. Đó là cách các công cụ phòng thủ theo kịp bối cảnh đe dọa do trí tuệ nhân tạo điều khiển.
Cảm ơn vì cuộc phỏng vấn tuyệt vời — những độc giả muốn tìm hiểu thêm về cách công ty sử dụng chuyên môn của con người và bảo mật dựa trên trí tuệ nhân tạo để giúp các tổ chức xác định và ngăn chặn rủi ro thực tế trước khi nó trở thành vấn đề kinh doanh có thể truy cập HackerOne.
