Bugcrowd收购自动化测试工具Mayhem，以强化其应用安全测试平台能力

Bugcrowd收购了一家由卡内基梅隆大学资深教授领导的攻击型安全厂商，旨在将人工智能驱动的攻击型安全测试与人类创造力相结合。

这家总部位于旧金山的众包安全厂商表示，此次收购将整合匹兹堡Mayhem Security的AI驱动自动化安全测试与Bugcrowd的以人为中心的漏洞发现模式。通过这笔交易，Bugcrowd将能够为客户提供从自主扫描到红队演练和漏洞赏金的端到端应用安全生命周期服务。

“从一开始就很明显，两家公司的文化非常相似，”Bugcrowd首席执行官Dave Gerry告诉《信息安全媒体集团》（Information Security Media Group）。“当然，我们的领导风格也非常相似，我们的想法是：‘嘿，我们希望整个团队都加入Bugcrowd。’我真的很兴奋，Mayhem团队的每一位成员都决定留下来加入我们。”

Mayhem成立于2012年，拥有13名员工，2022年3月完成2100万美元B轮融资（由Koch Disruptive Technologies和New Enterprise Associates领投），并于2024年从ForAllSecure更名为Mayhem。公司自成立以来一直由David Brumley领导，他自2009年起担任卡内基梅隆大学电气与计算机工程教授（参见：CrowdStrike臭名昭著漏洞对CISO的关键启示）。

为何自动化与手动测试结合更优

Gerry表示，Bugcrowd与Mayhem的协同效应将帮助客户通过单一平台满足全谱系安全测试需求。此外，Brumley称这笔交易将帮助Mayhem更快地扩展技术规模并产生更广泛的影响，使其能够接触更多客户、获得更多销售资源，并融入真实世界的测试环境。

“我们已经努力了很长时间，拥有了令人惊叹的客户群，”Brumley告诉ISMG。“我们从Bugcrowd身上看到了前所未有的扩展机会。第一部分是扩大我们正在做的事情的规模。第二部分是拓宽我们的业务范围。我认为，每个人在其工作流程和所有事务中都需要自主AppSec（应用安全）。”

Gerry指出，传统自动化测试平台往往会遗漏上下文细微漏洞，而单纯依赖手动测试则效率低下且难以扩展。他表示，合并后的平台将为客户提供灵活性，根据需求应对应用安全的不同方面：自动化测试确保规模和一致性，人工测试则发挥创造力和处理边缘案例。

“客户正在将自动化测试与人类创造力结合使用，”Gerry说。“因此，有很多问题AI和自动化非常擅长解决，但肯定不是所有问题。你永远无法取代人类的创造力，但有很多问题AI非常擅长解决，这正是David所构建的出色成果。”

虽然大多数大型语言模型（LLM）是在海量现有数据上训练的，但Brumley表示，Mayhem创建了强化学习环境，让AI能够通过“实践”学习。在这种环境中，LLM可以练习网络安全任务，如检测、利用和修补漏洞。Brumley称，这有助于将LLM从被动知识存储库转变为主动安全代理。

“他们没有做的是构建这样的环境：让这些AI能够练习技能，并真正成为编码者和渗透测试人员，”Brumley说。“当Mayhem说存在漏洞时，准确率是100%，因为我们有对应的利用代码。这不仅仅是给LLM提供大量数据，而是给它们一个练习环境，并且必须有评分机制。”

Bugcrowd与Mayhem Security如何整合

Gerry表示，短期内，Mayhem的漏洞数据可以与其他第三方来源的数据一起被纳入Bugcrowd平台。随着时间的推移，Mayhem的功能将原生嵌入Bugcrowd平台，这意味着客户将能够直接在Bugcrowd界面中启动扫描、查看结果并生成统一报告。这种从简单数据摄入到完全集成的转变将减少工作流程摩擦。

“我们有能力从其他来源摄入漏洞结果，”Gerry说。“因此，短期内，这将被视为另一个数据源。长期来看，它将成为平台原生的一部分。我们已经完成了所有架构工作。”

Bugcrowd客户可以立即受益于Mayhem的自动化测试工具，而Mayhem客户则可以获得Bugcrowd的攻击型安全服务，包括漏洞赏金和红队演练。Gerry和Brumley表示，两家公司服务于相似的行业，包括国防、航空航天、金融和科技，并与相同的决策者（如CISO和产品安全负责人）互动。

“典型的Mayhem客户真正关心的不仅仅是安全报告，而是修复问题，”Brumley说。“安全事件会立即给他们带来实际的经济损失，而不是某种假设的风险。他们将安全视为一个整体质量计划，而我们已经深入其中。”

Gerry表示，Bugcrowd在选定Mayhem之前评估了50至60家公司。漏洞发现和众包安全领域的市场碎片化使得整合不仅可能，而且必要。未来的交易将取决于解决方案是否通过构建、购买或合作决策来填补战略空白（参见：Bugcrowd收购Informer以增强攻击面管理）。

“我们相信，众包安全以及更广泛的漏洞发现市场都将出现大规模整合，”Gerry说。“我们可能与50或60个不同的组织进行了交谈，以确定谁最适合解决我们面临的问题和实现我们的目标，最终我们与David达成了这项合作。”