网络安全领域的初创公司 Xbow USA Inc. 刚完成了一笔巨额融资,金额高达 1.2 亿美元,把估值推到了 10 亿美元以上。这家公司专门帮企业揪出软件里藏着的安全隐患。这次的 C 轮融资,由 DFJ Growth 和 Northzone 两大投资方牵头。这事儿紧接在去年六月那笔 7500 万美元的融资之后。 公司是这么说的,想找出系统里的漏洞,通常要搞渗透测试,就是让管理员用模拟攻击来试探应用程序。这种评估虽然能挖出很多其他办法难以发现的问题,但太贵了,还得耗上好几个礼拜。总部在西雅图的 Xbow 就推出了个平台,用智能体自动干活,直接把这种费时费力的活儿干到了几小时甚至几天。 大家都知道,应用程序里会有很多极端的交互场景,这些虽然平时很少碰上,但一旦中招就是大麻烦。以前的人工测试因为时间紧,根本没法把这些边角料都给覆盖到。但 Xbow 的这套系统因为速度快,反而能做得更全面。它不光能找漏洞,还会去验证这些漏洞到底有没有实际危害,这样就能把那些没风险的误报给过滤掉。 更厉害的是,它能造出那种特别复杂的多步骤攻击链条。在一次测试里,它居然一口气用了 48 种不同的手段去搞事情。比如它能用特制的图片文件来模拟所谓的服务器端请求伪造攻击,也就是黑客控制应用程序去别的系统里偷数据。还有一次测试里,它把行业里常用的 AES-128 加密技术都给破解了。 方法也很聪明,就是不停地向掌握解密密钥的服务器发请求,然后分析返回的错误信息,最后在 17.5 分钟内就把受保护的 cookie 给解密了。 客户用这个平台也很方便,可以直接给智能体下指令。比如刚出的 SaaS 公司可以让它只去测新版功能;工程师要是愿意把源代码交上去,它就能提供更全面的漏洞视图。 公司总共给了三个版本的平台。Plus 和 Premium 这种是打包一次收费的服务,专门用来扫描单个应用程序;Xbow Enterprise 是第三个产品,主要负责长期盯着组织里的工作负载找漏洞,还能通过 API 把结果传到别的安全工具上。 拿到这笔钱以后,Xbow 打算把生意做到国外去,还要在企业圈子里多发展一些客户。他们还计划在技术研发上再下功夫。