随着AI辅助创作、快速原型开发和代码生成速度的提升,开发者正在以前所未有的速度交付软件。然而,尽管生产力显著提高,安全债务却在不断增加。对此,网络安全创新公司OX Security宣布完成6000万美元的B轮融资,以应对现代开发中的一个紧迫挑战:在应用安全中分辨信号与噪声。此次融资由DTCP主导,IBM Ventures、微软、Swisscom Ventures、Evolution Equity Partners和Team8等参与,使OX的总融资额达到9400万美元。
这一融资时机恰到好处。生成式AI代码生成工具正在以干净的外观向代码库中注入潜在的脆弱代码,而传统的人类工程也在继续引入自身的风险。常规的应用安全(AppSec)工具未能适应这一新现实,反而给团队带来了大量警报,其中大多数并不代表真实威胁。结果是开发者疲劳、时间浪费以及被忽视的漏洞,可能导致灾难性安全事件。
OX Security的首席执行官兼联合创始人Neatsun Ziv表示:“随着AI生成代码成为新常态,其引入的风险往往隐藏在看似无害的代码下,而传统安全工具并不具备检测这些缺陷的能力。OX正在开创一种由AI驱动的代码审查,辅以模拟顶级安全工程师判断的关键思维模块。通过持续建模AI和人类生成代码的风险,我们识别和优先处理真正重要的漏洞。”
OX Security的核心理念是精准优于数量。OX专注于真正可被利用、可接触和有影响力的5%问题,而非试图解决每一个理论上的脆弱性。这些缺陷可能被攻击者武器化,导致实际的数据泄露。OX的平台利用强大的应用安全态势管理(ASPM)引擎,将静态和动态分析、软件组成、CI/CD管道、云基础设施和运行时行为连接起来,超越一般警报,通过建模可利用性、分析攻击路径可达性以及将发现与业务影响相关联,提供有意义、可管理且可立即采取行动的风险概况。
OX的AI驱动优先级引擎与超过100个开发和安全工具集成。由于其简单的部署流程,通常在几小时内完成,DevOps和AppSec团队可以在不影响工作流程的情况下,将OX直接嵌入现有流程中。
当今企业使用了一系列复杂的安全工具,从SAST、DAST到SCA、CSPM和运行时监控。然而,工具的繁多带来了警报数量的压倒性增长,却缺乏统一的优先级。开发者往往忽视或延迟修复,安全团队在处理低优先级问题上浪费时间,而关键漏洞则在混乱中被遗忘。Ziv补充道:“任何安全工具都可以发现无尽的脆弱性并发出不断的警报。我们在这里告诉你哪些特定漏洞会真正导致数据泄露,并明确指出需要优先修复的问题。”
OX的平台提供从代码到云的可追溯性,将安全问题转换为开发者友好的术语,并提供指导修复建议。其统一仪表板集中管理漏洞、风险评估和修复工作流程,帮助团队将平均修复时间(MTTR)从数周缩短到数天。
Ziv在最近的一篇博客中解释了为什么这轮融资不仅及时,而且是紧急的。“生成的代码比以往任何时候都要多,很多都是由生成式AI生成的。披露的漏洞以惊人的速度增长。威胁行为者的攻击速度也在加快,记录时间内武器化软件漏洞,通常借助AI的帮助。尽管如此,应用安全的预算和资源却相对平稳。”这种不平衡创造了一个危险的动态:攻击面扩大、利用速度加快,但安全覆盖仍然有限。
OX于2021年由Ziv和Lior Arzi创立,二人均来自Check Point,正是针对这一新形势,尤其是SolarWinds供应链攻击带来的警钟而成立。他们的目标简单却具有变革性:构建一个能够真正降低风险的应用安全平台,而不是通过海量数据压倒团队,而是帮助他们修复真正重要的问题。
如今,OX Security已经受到包括微软、IBM、SoFi、eToro、FICO、Tomorrow.io和888 Holdings在内的200多家组织的信任。安全高管们一致指出OX的易集成性、卓越的客户支持以及其带来的真实安全改善。CISO的证言强调了该平台提供的:端到端可追溯性、更快的分类和解决、自动化修复工作流程、部署前对代码的信心。
Ziv表示:“OX Security支持我们对透明度和端到端可追溯性的需求。这为我们提供了更大的控制力,阻止漏洞并提高整个开发生命周期的准确性。”
这笔6000万美元的融资将推动OX的下一波创新。根据公司计划,未来的优先事项包括:在整个工具链中的更深层支持、更精确的风险建模、在软件开发生命周期(SDLC)中的更广泛可见性、修复和分类的自动化。OX计划继续引领从碎片化工具到统一的、AI驱动的应用安全的转变,尤其是在“氛围编码”和生成式AI成为软件构建核心的时代。“OX是精准的刀刃,切割通过无尽漏洞的噪声,”DTCP的董事总经理Dean Shahar表示。“随着生成式AI加速代码创建超越人类规模,OX提供了激光般的准确性,以保护日益扩大的攻击面。”
应用安全的未来不在于检测更多,而在于了解更多。OX Security正在迎来一个新的范式,在这个范式中,警报具有上下文,风险可量化,修复优先级基于现实世界的影响。对于在氛围编码时代构建的开发者和安全专业人士来说,OX提供了行业迫切需要的清晰度。“让我们停止追逐噪声,”Ziv说。“专注于线%。”
