(SeaPRwire) –   RunSybil, sebuah startup keamanan siber AI yang menggunakan agen AI untuk secara otomatis meretas perangkat lunak perusahaan guna menemukan kelemahan keamanan, telah mengamankan pendanaan modal ventura sebesar $40 juta.

Putaran pendanaan ini dipimpin oleh Khosla Ventures, dengan partisipasi dari S32, Anthology Fund dari Anthropic dan Menlo Ventures, Conviction dan Elad Gil, bersama dengan investor malaikat termasuk Nikesh Arora, Amit Agarwal, Jeff Dean, serta pendiri dan pemimpin lain dari perusahaan termasuk OpenAI, Palo Alto Networks, Stripe, dan Google.

Perusahaan tidak mengungkapkan valuasi yang dicapai dalam putaran pendanaan baru ini.

Agen AI perusahaan, Sybil, melakukan tes penetrasi otonom yang berkelanjutan terhadap aplikasi langsung—menemukan, mengeksploitasi, dan mendokumentasikan kerentanan keamanan yang nyata tanpa campur tangan manusia. Hal ini berbeda dari alat keamanan lain yang sedang menjadi berita utama, seperti Claude Code Security, yang menganalisis kode sumber dalam aplikasi untuk kerentanan yang diketahui sebelum diterapkan.

RunSybil justru menguji perangkat lunak yang sudah berjalan, menyelidiki sistem langsung seperti yang dilakukan peretas—dengan menjelajahi sistem, merantai kerentanan bersama-sama, dan menguji batas autentikasi untuk menemukan jalur menuju data sensitif.

Mengotomatisasi ‘peretasan etis’

Perusahaan lama mengandalkan campuran tes penetrasi—di mana pakar keamanan luar, atau “peretas etis,” mencoba menerobos sistem mereka; program bug bounty yang memberi penghargaan kepada peretas independen karena melaporkan cacat; dan tim “merah” internal yang mensimulasikan serangan siber nyata. RunSybil mengatakan sistem AI-nya dapat mengotomatiskan banyak pekerjaan itu, terus-menerus menyelidiki aplikasi untuk mencari kerentanan saat kode baru diterapkan.

RunSybil berargumen bahwa jenis otomatisasi semacam ini menjadi semakin diperlukan seiring AI membentuk ulang cara perusahaan beroperasi. Pengadaan, hukum, keuangan, teknik, dan operasi semuanya sedang dibangun kembali dengan AI—termasuk penggunaan agen AI yang semakin meningkat. Namun, pengujian keamanan masih sering diperlakukan sebagai peristiwa terpisah yang dijadwalkan, dikelola oleh tim terpisah dengan linimasa sendiri. Ketidakcocokan itu bisa sangat menantang bagi industri yang sangat diatur seperti keuangan, asuransi, dan perawatan kesehatan, yang menghadapi persyaratan hukum dan audit yang ketat seputar keamanan siber.

RunSybil didirikan bersama pada tahun 2023 oleh Ari Herbert-Voss, yang bergabung dengan OpenAI sebagai perekrutan penelitian keamanan pertama mereka pada tahun 2019, dan Vlad Ionescu, yang sebelumnya memimpin tim merah keamanan ofensif di Meta. Bersama-sama, mereka mengatakan mewakili persimpangan yang langka: orang yang memahami cara membangun sistem AI terdepan dan cara meretas perangkat lunak yang kompleks.

“Kami mencentang setiap kotak yang perlu dicentang—untuk auditor, regulator, dan tim kepatuhan,” kata Herbert-Voss. Tetapi pekerjaan sesungguhnya, katanya, adalah mengubah di mana, kapan, dan bagaimana pelanggan menemukan dan memperbaiki masalah keamanan: “Bukan sebagai proyek, tetapi sebagai kemampuan permanen yang tertanam dalam cara mereka membangun.”

‘Di ujung’ batas keamanan AI

Vinod Khosla, yang melakukan taruhan awal pada OpenAI pada tahun 2019 dan sering berinvestasi di perusahaan yang ia anggap berada di batas teknologi, mengatakan kepada bahwa “yang diperlukan untuk menambahkan keamanan dan pengujian penetrasi ke dunia AI pasti merupakan batas terdepan—RunSybil berada di ujungnya.” Saat ini ada sedikit persaingan di bagian pasar keamanan ofensif ini, katanya, meskipun pemain keamanan mapan seperti Palo Alto Networks mungkin pada akhirnya akan memasuki ruang ini.

Untuk saat ini, “tidak ada yang benar-benar memahami hal ini kecuali individu seperti [Herbert-Voss],” katanya, seraya menambahkan bahwa ia lama khawatir tentang kemampuan siber AI jatuh ke tangan musuh seperti China. “Kami berinvestasi pada pendiri yang menangani masalah besar yang belum terpecahkan dengan solusi yang secara teknis ambisius,” tambahnya. “[Herbert-Voss dan Ionsecu] membangun tepat jenis platform yang akan dibutuhkan tim keamanan seiring kompleksitas perangkat lunak dan pengembangan berbasis AI semakin cepat.”

Herbert-Voss telah lama mendalami dunia peretasan dan AI. Dibesarkan di komunitas yang sebagian besar Mormon di Utah, ia mengatakan tertarik dengan dunia peretas online di sekolah menengah pertama dan atas tetapi berbalik arah setelah teman-temannya “mulai ditangkap.” Saat mengejar gelar Ph.D. di Harvard University yang mempelajari pembelajaran mesin dan cara membuat algoritma lebih efisien, ia pertama kali mendengar tentang OpenAI.

Ia keluar dari Harvard, katanya, setelah menjadi yakin bahwa penskalaan cepat model AI—melatih sistem yang lebih besar dengan lebih banyak data dan daya komputasi—akan membuka kemampuan baru yang kuat.

Mengembangkan kemampuan siber dengan LLM

“Begitu OpenAI merilis GPT-2, saya bilang wow, ini mengubah segalanya tentang ekonomi yang diperlukan untuk menjalankan kampanye siber,” jelasnya. Ia mengirim beberapa demo peretas kepada CEO OpenAI Sam Altman dan Jack Clark, yang saat itu menjabat sebagai kepala kebijakan di OpenAI dan kemudian ikut mendirikan Anthropic. Keduanya menyatakan keprihatinan mereka tentang potensi penyalahgunaan LLM dan meminta Herbert-Voss untuk bergabung melakukan penelitian keamanan.

Namun pada tahun 2022, Herbert-Voss mengatakan ia juga mulai melihat betapa cepatnya kemampuan siber ofensif dapat berkembang begitu model bahasa yang kuat menjadi tersedia secara luas, termasuk bagi aktor jahat. Kemajuan yang sama itu, katanya, dapat secara dramatis memperluas ancaman siber. Hal itulah yang menyebabkan keputusan Herbert-Voss untuk meninggalkan OpenAI dan memulai RunSybil sebagai proyek penelitian.

RunSybil saat ini bekerja dengan startup termasuk Cursor, Turbopuffer, Notion, Baseten, dan Thinking Machines Lab, serta apa yang disebut perusahaan sebagai lembaga keuangan besar dan perusahaan Fortune 500. (Perusahaan menolak menyebutkan nama-nama perusahaan Fortune 500 atau pelanggan keuangan tersebut.) Herbert-Voss mengatakan bahwa pelanggan telah melaporkan menemukan kerentanan kritis yang tidak terdeteksi dengan menggunakan metode tradisional.