人間のハッカーより速く、休まず脆弱性を探し続けるAIがある。自律型オフェンシブセキュリティプラットフォームを開発するXBOWが、NVIDIA、SentinelOne、Accentureなど戦略的投資家6社から3,500万ドルを追加調達した。シリーズCの累計は1億5,500万ドル、創業以来の総調達額は2億7,000万ドルを超えた。
この記事でわかること:
- 従来のペネトレーションテストが抱える構造的な限界
- XBOWが自律AIエージェントで何を変えるか
- NVIDIAやSentinelOneが投資に動いた背景
年に数回しかできない診断では追いつかない
企業のセキュリティ診断で長く使われてきた手法が、ペネトレーションテスト(侵入テスト)だ。専門家が疑似攻撃を仕掛けて脆弱性を探す手法で、信頼性は高い。しかし費用が高く、実施できるのは年に数回が限界になりやすい。攻撃者はシステムの隙を365日休まず探しているのに、防御側の診断はスポット的にしか行われない。この非対称性がセキュリティの根本的な課題になっている。
数千のAIエージェントが人間の代わりに攻撃を実行する
XBOWはAIの推論能力と敵対的ワークフローを組み合わせ、この非対称性を逆転させようとしている。数千のAIエージェントがアプリケーションを継続的に探索し、本物のハッカーと同じ思考プロセスで脆弱性を探す。重要なのは、発見した候補をすべて実際の攻撃によって検証する仕組みだ。「理論上のリスク」ではなく再現可能な証拠をセットにして報告するため、セキュリティチームは「修正すべき本物の穴」だけに集中できる。
セキュリティ診断に通常数日から数週間かかるところを、XBOWは数分で完了させる。攻撃者がAIを使って攻撃を高速化している今、この速度差は守る側に決定的なアドバンテージをもたらす。
XBOWのCISOを務めるNico Waisman氏は元LyftのCISOで、チームには世界トップクラスの人間のハッカーも参加している。実際のハッカーの思考をAIのトレーニングに活用することで、機械的なパターンマッチングではなく、本物の攻撃者に近い判断ができるよう設計されている。
HackerOneランキングで世界1位——100社超が本番導入
2025年、XBOWはHackerOneのグローバルランキングで1位を獲得した。世界トップクラスの人間のハッカーを上回る成果を出したことで、自律AIによるペネトレーションテストの実力が広く認知された。
現在は製薬大手Modernaをはじめ100社以上が本番環境に導入している。GitHubコパイロットやGitHub Advanced Securityを開発したOege de Moor氏が2024年1月に創業したという経歴も、技術面での信頼性の裏づけになっている。250名超のチームはリモートファーストで世界に分散しており、Sequoia Capital、Altimeterなど著名投資家が支持している。
NVIDIAやSentinelOneが投資した理由
2026年5月の追加調達では、NVIDIAのベンチャー部門NVentures、Accenture Ventures、Samsung Ventures、SentinelOneのS Ventures、DNX Ventures、Liberty Global Tech Venturesが参加した。
注目すべきは、投資家の一部がXBOWの顧客でもある点だ。SentinelOneのAlex Krongold氏は「各XBOWエージェントは社内レッドチームの延長として機能する。以前は不可能だった速度と深度でオフェンシブテストをスケールできる」と評価している(参考)。使って価値があると判断したから出資するというサイクルは、プラットフォームの実力をよく示している。
調達した資金は国際展開とGo-to-Marketの加速に充てられる。XBOWはすでにMicrosoftセキュリティエコシステムへの統合も発表しており、企業のセキュリティスタック全体への組み込みを着々と進めている。
自律AIがレッドチームの標準になる日
ペネトレーションテストの自動化は「将来の技術」から「実導入フェーズ」に入った。XBOWの事例が示すのは、人間のハッカーとAIが対立するのではなく、人間がAIをトレーニングしてAIが人間の能力を拡張するという構造だ。攻撃者がAIで攻撃を高速化している以上、防御側もAIで診断を高速化しなければ追いつけない。自律型オフェンシブセキュリティは、今後のセキュリティ体制の基盤になっていく可能性が高い。