Bugcrowd 推出真实漏洞训练平台,加速安全 AI Agent 高阶演进
众包安全服务商 Bugcrowd 今日推出名为“强化学习环境”(Reinforcement Learning Environments)的全新服务。该产品旨在帮助顶尖 AI 实验室摆脱低效的合成测试数据,直接在包含真实安全漏洞的实际软件中训练其大语言模型。
该服务基于 Bugcrowd 去年 11 月通过收购 Mayhem Security 获取的核心技术。官方透露,多家主流大模型厂商已秘密接入该服务。相比传统的企业内部工程开发,该平台能将通常耗时数年的模型训练基础设施搭建周期,大幅缩短至数周。
突破合成数据瓶颈,还原真实对抗场景 作为近期 AI Agent 迎来爆发的技术核心,强化学习高度依赖一个能“执行动作、捕获反馈并给予奖励”的高仿真环境。Bugcrowd 指出,当前网络安全领域普遍面临优质数据稀缺的困境,现有的训练集多为合成数据,缺乏生产环境中的真实漏洞特征。这导致许多在标准基准测试中刷出高分的模型,在现实网络对抗中往往瞬间失效。
为此,新平台一次性开放了数十万个沙盒化训练环境。这些环境全部取材于含有真实漏洞的开源软件源码,并配有严密的自动化验证机制。AI Agent 需在其中自主完成漏洞识别、触发路径分析、可利用性判定以及补丁生成等全链路任务,且每一步都由客观机制实时评分。Bugcrowd 承诺,所有训练环境均独立构建,绝不包含任何客户隐私或平台白帽黑客的研究成果。
源自 DARPA 冠军技术的上游布局 本次新品发布标志着 Bugcrowd 在收购 Mayhem 后的战略落地。Mayhem 诞生于 2012 年,由卡内基梅隆大学学者 David Brumley 与 Thanassis Avgerinos 创立,其底层源于美国国防高级研究计划局(DARPA)网络大挑战赛的夺冠技术(符号执行与模糊测试)。现在,Bugcrowd 将这套原本用于防御的自动化测试工具反向应用到产业上游,赋能那些构建底层安全模型的头部实验室。
“训练环境与真实战场的脱节,是造成当下 AI 安全防线脆弱的主因。” Bugcrowd 首席执行官 Dave Gerry 表示,“新平台直接消除了这种‘近似模拟’的局限,让 AI 在真正的安全博弈中完成进化。”
同时亮相的还有一门名为 ExploitBench 的评估框架,专用于量化测试 AI 模型在漏洞利用开发上的能力。这两项产品精准卡位了 AI 基础设施层的蓝海市场,满足了模型厂商将 Agent 从简单的“检测工具”推向“验证利用与自动修复”高阶能力的迫切需求。
Mayhem 联合创始人、现任 Bugcrowd 首席 AI 与科学官的 David Brumley 强调:“纸上谈兵培养不出真正具备安全防御能力的 AI。模型需要的是真实世界的复杂问题,以及针对其解决方案的客观、及时的正向负向反馈。”
截至目前,Bugcrowd 的历史融资总额已达 8000 万美元,其中包括 2024 年由 General Catalyst 领投的战略增长轮。其背后投资机构还涵盖了 Salesforce Ventures、Paladin Capital Group、Blackbird Ventures 等多家知名科技风投。
网站资讯
渠道合作
解决方案
更多服务
