RunSybil, une startup de cybersécurité basée sur l’IA qui utilise des agents d’IA pour pirater automatiquement les logiciels des entreprises afin de détecter les failles de sécurité, a obtenu 40 millions de dollars de financement en capital-risque.
Le cycle a été mené par Khosla Ventures avec la participation de S32, Anthropic et Menlo Ventures’ Anthology Fund, Conviction et Elad Gil, ainsi que d’investisseurs providentiels dont Nikesh Arora, Amit Agarwal et Jeff Dean, et de fondateurs et dirigeants d’entreprises dont OpenAI, Palo Alto Networks, Stripe et Google.
La société n’a pas divulgué la valorisation qu’elle a obtenue grâce au nouveau cycle de financement.
Sybil, l’agent IA de l’entreprise, effectue des tests d’intrusion autonomes et continus sur les applications en cours d’exécution pour découvrir, exploiter et documenter les vulnérabilités de sécurité réelles sans implication humaine. Ceci est différent des autres outils de sécurité dont on parle aujourd’hui, tels que Claude Code Security, qui analyse le code source de l’application pour trouver les vulnérabilités connues avant le déploiement.
Au lieu de cela, RunSybil sonde les systèmes en direct en testant les logiciels déjà en cours d’exécution, en les sondant comme le ferait un pirate informatique, en enchaînant les vulnérabilités et en testant les limites d’authentification pour trouver des chemins vers des données sensibles.
Automatisez le « piratage éthique »
Les entreprises utilisent depuis longtemps une combinaison de tests d’intrusion, au cours desquels des experts extérieurs en sécurité, ou « hackers éthiques », tentent de pénétrer dans leurs systèmes. Un programme de bug bounty qui récompense les pirates informatiques indépendants qui signalent des failles. et une « équipe rouge » interne qui simule une véritable cyberattaque. RunSybil affirme que ses systèmes d’IA peuvent automatiser une grande partie de ce travail et rechercher en permanence les vulnérabilités des applications à mesure que du nouveau code est déployé.
RunSybil affirme que ce type d’automatisation devient nécessaire à mesure que l’IA remodèle le mode de fonctionnement des entreprises. Les achats, les services juridiques, les finances, l’ingénierie et les opérations sont tous repensés à l’aide de l’IA, y compris l’utilisation accrue d’agents d’IA. Cependant, les tests de sécurité sont encore souvent traités comme un événement planifié distinct, géré par des équipes distinctes selon leurs propres délais. Cette inadéquation peut être particulièrement difficile pour les secteurs hautement réglementés tels que la finance, les assurances et la santé, qui sont confrontés à des exigences juridiques et d’audit strictes en matière de cybersécurité.
RunSybil a été cofondée en 2023 par Ari Herbert-Voss, qui a rejoint OpenAI en tant que premier chercheur en sécurité embauché en 2019, et Vlad Ionescu, qui dirigeait auparavant l’équipe rouge de sécurité offensive chez Meta. Ils disent qu’ils représentent une intersection rare : des personnes qui comprennent comment construire des systèmes d’IA de pointe et comment pirater des logiciels complexes.
« Nous cochons toutes les cases : auditeurs, régulateurs, équipes de conformité », a déclaré Herbert Foss. Mais le véritable travail, dit-il, consiste à transformer où, quand et comment les clients découvrent et résolvent les problèmes de sécurité, « non pas en tant que projet, mais en tant que fonctionnalité permanente intégrée à la manière dont ils sont construits ».
La « pointe » de la frontière de la sécurité de l’IA
Vinod Khosla, qui a parié tôt sur OpenAI en 2019 et investit fréquemment dans des entreprises qui, selon lui, sont à la frontière de la technologie, a déclaré à Fortune : « Il y a certainement une frontière dans ce que nous devons faire pour ajouter la sécurité et les tests d’intrusion au monde de l’IA, et RunSybil est à la pointe de cela. » Il a déclaré qu’il y avait actuellement peu de concurrence dans cette partie du marché de la sécurité offensive, mais que des sociétés de sécurité établies comme Palo Alto Networks pourraient éventuellement s’implanter dans ce secteur.
Pour l’instant, « personne n’est vraiment au courant, à l’exception de gens comme[Herbert Foss] », a-t-il déclaré, ajoutant qu’il y avait des inquiétudes de longue date quant au fait que les cybercapacités de l’IA tombaient entre les mains d’adversaires tels que la Chine. « Nous investissons dans des fondateurs qui s’attaquent à de gros problèmes non résolus avec des solutions techniquement ambitieuses », a-t-il ajouté. « (Herbert-Voss et Ionsecu) construisent exactement le type de plate-forme dont les équipes de sécurité ont besoin à mesure que la complexité des logiciels et le développement basé sur l’IA s’accélèrent. »
Herbert Voss est immergé dans le hacking et l’IA depuis de nombreuses années. Ayant grandi dans une communauté majoritairement mormone de l’Utah, il a déclaré avoir été attiré par le monde du piratage en ligne au collège et au lycée, mais s’en être détourné lorsque ses amis « ont commencé à se faire arrêter ». Il a découvert OpenAI pour la première fois alors qu’il poursuivait son doctorat. à l’Université Harvard, où il étudie l’apprentissage automatique et la manière de rendre les algorithmes plus efficaces.
Il a déclaré avoir quitté Harvard convaincu que la mise à l’échelle rapide des modèles d’IA pourrait débloquer de nouvelles capacités puissantes en formant des systèmes plus grands avec plus de données et de puissance de calcul.
Faire évoluer vos cybercapacités avec un LLM
« Après qu’OpenAI ait abandonné GPT-2, je me suis dit : wow, cela change tous les aspects économiques de la conduite d’une cyber-campagne », a-t-il expliqué. Il a envoyé plusieurs démos de hackers au PDG d’OpenAI, Sam Altman, et à Jack Clark, alors responsable de la politique d’OpenAI et plus tard co-fondateur d’Anthropic. Ils ont exprimé leurs inquiétudes quant aux risques d’abus du LLM et ont demandé à Herbert-Voss de prendre en charge l’enquête de sécurité.
Mais Herbert Voss a déclaré que d’ici 2022, nous commençons à voir à quelle vitesse les cyber-capacités offensives évolueront une fois que des modèles de langage forts seront largement disponibles, y compris pour les acteurs malveillants. Des avancées similaires pourraient accroître considérablement les cybermenaces, a-t-il déclaré. Cela a conduit Herbert-Voss à la décision de quitter OpenAI et de lancer RunSybil en tant que projet de recherche.
RunSybil travaille actuellement avec des startups comme Cursor, Turbopuffer, Notion, Baseten et Thinking Machines Lab, ainsi qu’avec ce que la société appelle de grandes institutions financières et des sociétés Fortune 500. (La société a refusé de nommer ses sociétés Fortune 500 ou ses clients financiers.) Herbert Voss a déclaré que des clients ont déjà signalé avoir découvert des vulnérabilités critiques qui n’avaient pas été détectées par les méthodes traditionnelles.
