$5 млн інвестицій на ШІ-агент без цензури. Як працює кібербезпековий стартап Craсken AI

Від ідеї до реалізації: як починався та змінювався продукт

Історія компанії стартувала на початку 2023 року, коли я проходив програму МВA в MIT. Ми займалися різними проєктами, пов’язаними з українським контекстом. Я цікавився технологіями, які могли б допомогти Україні у війні, зокрема із захистом.

Я був співорганізатором конференції Technology National Security Conference між MIT і Harvard, де ми з колегами дізналися про дослідницький проєкт автономного тестування на проникнення. Він базувався на ШІ-технологіях, які були до ChatGPT. 

Ми з колегами вирішили переробити технологію та використати генеративний ШІ для кібербезпеки та захисту критичної інфраструктури. Зробили прототип, побачили, що він працює, і запустили цей проєкт як стартап. У нашій команді від початку працювали люди зі знанням кіберзброї та як її використовують зловмисники для атак на критичну інфраструктуру. 

У 2023-2024 роках основною метою стартапу була розробка повністю автономного агента, який функціонує без підтримки оператора. Ми тестували, як ця технологія працює на реальних кейсах. Але кінцевого продукту не було, працювали з Jupyter Notebook Інструмент, де пишуть і запускають код у вигляді інтерактивних «ноутбуків» , де у нас були Python-скрипти.

Ми тестували ядро цієї технології як пакета, який можна було б передати користувачам. І в процесі зрозуміли, що ідея повної автономії має певні проблеми, особливо на високому рівні складності кібербезпекових операцій. Перш за все — це довіра та відповідальність. Адже суспільство довіряє людям, а не якимось ефемерним «коробкам» десь в Claude.

Друге — важливість комунікації. Щоб робота проходила ефективно для великих організацій, її неможливо виконувати в повністю автономному режимі. Наприклад, при перевірці системи ви розумієте, що є великий ризик вразливості, який може вивести її з ладу. І сповіщаєте колег про це, щоб усі були готовими. Тобто це про реагування на надзвичайні ситуації.

Протягом 2024 року ми відмовилися від повністю автономного продукту. І перейшли до ідеї оператора як оркестратора: збільшували потужність кожного оператора, масштабували можливості фахівців з кібербезпеки. 

$5 млн інвестицій на команду та дослідження

Минулого липня ми закрили seed-раунд на $5 млн. Інвестиції від чотирьох венчурних фондів: Unusual VC з Кремнієвої долини, європейський Frontline, британський Form Ventures та Strike Capital, що працює з фінтек (для нас це можливість отримати доступ до клієнтів з цієї сфери). Тоді оцінка становила $30 млн. 

Залучені кошти пішли частково на розбудову комерційної команди. Раніше у нас були інженери, дослідники, розробники, оператори кібербезпеки з досвідом протидії міжнародним APT-загрозам, але ми не мали команди, яка б займалася продажами, бізнес-розробкою. Також частина грошей пішла на продовження досліджень.

Наше завдання зараз — всередині або під кінець цього року мати повноцінний Product-Market Fit.

Розповсюджуємо наш інструмент за двома моделями: 

• як SaaS-рішення;
• або як рішення, що розгорнуте в приватному Cloud або On-prem (локальне ПЗ). 

SaaS-рішення має три типи підписки, плюс кредити. Різні пакети залежать від того, яка функціональність доступна.

Але більшість наших клієнтів вибирає рішення, які розгортаються в приватному Cloud або On-prem. Тут вартість залежить, чи моделі будуть розгорнуті на нашій стороні, чи на клієнтській. Починаються ціни в нас від $10 000 на місяць (для SaaS-рішення), середній пакет зараз — $15 000. Якщо йдеться про атакувальну кібербезпеку та функціональності, з якими працюють червоні команди, то чек може сягати $100 000 на місяць.

Про конкурентів

Нас порівнюють з інструментами автономного тестування на проникнення, на кшталт XBOW, Terra Security, Tenzai, Horizon3, які базуються на новому ШІ. Проте, Cracken має набагато ширші можливості — він може бути повноцінним середовищем розробки (IDE) для оператора кібербезпеки на рівні з Cursor для розробників. 

Також нас розглядають як Vibe Hacking tool за аналогією з Vibe Coding/Vibe Working, там де цей вайб можуть використати кібербезпековики, тобто з різними інструментами, на кшталт ChatGPT, Claude AI. 

І третя категорія, з якою нас порівнюють,— старі компанії, які працюють в напрямі управління ризиками та управління станом безпеки активів.

Ми позиціюємо свій продукт як uncensored Vibe Hacking-інструмент для проактивної кібербезпеки.

Що таке Vibe Hacking і як він робить кіберзахисників ефективнішими

Так само як деякі люди використовують Vibe Working, зокрема Vibe Coding, ми працюємо з Vibe Hacking. Розробляємо Vibe Hacking tool — ШІ-інструмент, що допомагає бути ефективнішим та давати більше імпакту за той час, що спеціаліст витрачає.

Наприклад, спеціаліст червоної команди Група, яка грає роль ворога чи конкурента та забезпечує зворотний зв'язок із погляду безпеки. навчає співробітників компанії, що таке спірфішинг На відміну від масового фішингу, у спірфішингу зловмисники ретельно вивчають жертву (через соцмережі чи відкриті джерела) і створюють персоналізовані повідомлення, які виглядають правдиво. та фішинг, щоб вони не переходили за підозрілими посиланнями в листах та не завантажували шкідливі програми. Це може бути 1000 осіб, для кожної потрібен індивідуальний план атаки. А у спеціаліста може не бути часу його складати. Тож він дає нашому Vibe Hacking-інструменту запит (сформульований простою мовою), щоб той знайшов соцмережі кожного працівника та проаналізував, чим вони займаються та що люблять. Залежно від цього фахівець будує інфраструктуру для навчальних атак. Наприклад, хтось любить собак, і йому можна надіслати підставний лист, що стосується допомоги собакам.

Коли плани готові, спеціаліст запускає атаку, ШІ її підтримує: комунікує з людьми, щоб вони натискали на лінки та завантажували вкладення. При цьому спеціаліст може бачити всі дії ШІ-агента, контролювати їх, ставити на паузу, втручатися і змінювати щось вручну.

Безвідмовний, але слухняний ШІ

Для розробки агента ми комбінуємо Open Source та власні рішення. Це поєднання важливе, щоб наші клієнти отримували доступ до останніх можливостей, а не користувалися моделлю, яка базована на старій архітектурі, у той час як виходять оновлення.

Комерційні AI-моделі мають вбудовану «цензуру»: вони відмовляються від будь-яких запитів, що нагадують хакерські — навіть якщо це авторизоване тестування. Для red team це — глухий кут. Наприклад, якщо ми просимо модель згенерувати payload Основна частина даних або вмісту, що виконується шкідливою програмою. Це дані користувача, вміст файлу або шкідливий код, що, наприклад, краде паролі. для конкретної компанії й використати його для тестування антивірусної системи, щоб перевірити, чи є місконфігурації, комерційна модель може відмовитися це робити. Тобто в ній закладений механізм відхилення таких запитів.

Проте, якщо ми зробимо так, що модель перестає відмовлятися, то з’являється ризик того, що у спільноті називають AI going rogue (некерована поведінка моделі). Тобто модель може стати «скаженою» і робити все, що захоче.

Зараз ми єдина команда у світі, якій вдалося побудувати Domain Specific Abliterated Models. Ми маємо моделі, які можуть без обмежень працювати в домені кібербезпеки, але при цьому зберігають обмеження у роботі в інших sensitive-доменах (відвертий контент, незаконні товари, насилля тощо), а також в контексті своєї поведінки. Простими словами, наші моделі не відмовляються від кібербезпекових завдань, але водночас безпечні для функціонування в автономному режимі.

Загальноприйнята думка в дослідницькій спільноті (наприклад, Anthropic) була, що безпечно це надзвичайно складно реалізувати. Але ми експериментально довели, що це можливо.

Фокус на ринок США

Зараз на різних стадіях ми співпрацюємо з 20 компаніями, це великі організації з понад 1000 співробітників, із різних сфер. Основні наші напрями — банкінг, фінпослуги та міжнародне страхування. Найбільший наш комерційний фокус на компанії зі США, також співпрацюємо з європейськими компаніями і, звісно, українськими.

Ми також пробуємо себе в роботі з фармацевтичними компаніями, госпіталями та компаніями, що займаються хімічними дослідженнями. Додатково розглядаємо сектор критичної інфраструктури.

Працювати винятково з державами, некомерційними організаціями та міжнародними партнерами не дуже ефективно, вони достатньо повільні. Збільшувати вплив, бюджети, результат з ними — це досить складний, довготривалий процес, пов’язаний із купою бюрократії. Тому наш фокус і основний вектор — на комерційний напрям і саме в Штатах, тому що це — найбільший ринок.

Як вимірюють ефективність

Основна метрика, над якою завжди працюємо, — наскільки ми змогли масштабувати роботу операторів. Тобто наскільки ефективніше працює та команда, яка була у компанії з нашим інструментом. Наприклад, скільки червона команда змогла покрити асетів, або яке тестове покриття системи вона змогла охопити своєю активністю.

Метрики для окремих клієнтів також можуть бути індивідуальними. Наприклад, один наш клієнт сам будував шкідливе ПЗ ransomware Тип шкідливого ПЗ, що шифрує файли на комп'ютері або блокує доступ до системи, вимагаючи викуп за відновлення доступу. і тестував, як швидко команда зможе його виявити та відновити дані після атаки з нашим ШІ-агентом.

Метрикою також може бути поява нової можливості разом із нашим інструментом. Наприклад, клієнт хоче використовувати ШІ-агента для application security Комплекс заходів чи інструментів, для виявлення, усунення та запобігання вразливостям у програмному забезпеченні на всіх етапах його життєвого циклу. : у нього є кодова база, і він прагне знаходити в ній вразливості та робити це на постійній основі. У такому випадку сам факт, що раніше команда кібербезпеки не могла перевіряти кожен пул-реквест без нашого ШІ-агента, а тепер може, вже є метрикою ефективності.

Інструменти для кібератак прогресують

Зловмисники не сковані різними принципами, етичними підходами, вони можуть піти в даркнет і отримати все, що необхідно для наступальних дій, використати моделі, які не будуть відмовлятися щось виконувати.

При цьому комерційні організації не мають можливостей протестувати, наскільки вони захищені від такого типу новітніх атак.

Наприклад, LLM на основі інформації про минулі паролі користувачів у даркнеті може вгадати потенційні паролі до інших систем. Були також новини, як жителі Північної Кореї намагалися влаштуватися в американські компанії та використовували маски і зміну голосу на співбесідах. Це робили для того, щоб потім отримати доступ до даних цих компаній.

Ці інструменти не є новітніми, але їхня потужність прогресує. І найбільший прогрес у тому, що повний цикл таких атак можна автоматизувати: від OSINT до зламу системи.

Факапи як можливість для зростання

У період, коли ми ще працювали в Jupyter Notebook, команда під час тестування системи натрапила на honeypot Коли хтось на стороні захисників розгортає спеціальний сервіс, який мімікрує під реальний, але насправді він зроблений для того, щоб зібрати більше інформацію про тебе як атакувальника та зрозуміти краще твої дії та підходи до атаки. . Ми не знали, що організація, з якою співпрацюємо, має такий інструмент — до того ж він був спеціально налаштований під ШІ-агентів і використовував їхні вразливості. У результаті вийшло, що вони фактично «зламали» нас, поки ми намагалися зламати їх, і зібрали з нас більше даних, ніж ми планували отримати.

Ця ідея нам сподобалася, тож ми почали створювати власні honeypot-и для користувачів.

Загалом ця історія показує, що індустрія кібербезпеки — вічнозелена. Хакери шукають нові можливості, водночас захисники також шукають, як зірвати ці нові атаки. І знову по колу — як захистити себе та обійти нові системи. Виходить такий Inception-стиль.

Більше про це

01 Defense

«Ти не можеш розвернутися і піти» — ІТ-юрист про підготовку до служби, взаємодію з екіпажем і режим винахідника у роботі з FPV

Додати в закладки

Будь-яку статтю можна зберегти в закладки на сайті, щоб прочитати її пізніше.

Далі

Завершити

Реклама у Vector

Знайшли помилку? Виділіть її і натисніть Ctrl+Enter