Dit Stanford-onderzoek blies mijn geest weg 🤯 Ze hebben een paper uitgebracht waarin ze 10 professionele pentesters in een live universiteitsnetwerk gooiden met 8.000 echte machines, 12 subnetten, productiesystemen, echte gebruikers en vervolgens AI-agenten op dezelfde omgeving loslieten om te zien wie daadwerkelijk meer kwetsbaarheden vond. En het was zelfs niet dichtbij. Hun nieuwe agent, ARTEMIS, stapte deze enorme, rommelige, niet-gesimuleerde omgeving binnen en versloeg negen van de tien menselijke experts. Niet in een CTF. Niet op statische CVE's. Niet in een speelgoedbenchmark. In een echt bedrijfsnetwerk met echte gevolgen. ARTEMIS vond 9 gevalideerde kwetsbaarheden, handhaafde een geldigheidspercentage van 82% en stond op #2 op de hele ranglijst zonder toezicht, zonder aangepaste exploits, en tegen een kostprijs van $18/uur. Een menselijke pentester verdient gemiddeld ~$60/uur. Hier is het krankzinnige deel: • Mensen moesten handmatig doelwitten kiezen • ARTEMIS genereerde sub-agenten en viel meerdere hosts parallel aan • Mensen vergaten leads of raakten vast in konijnenholen • ARTEMIS hield perfecte herinnering met TODO-lijsten + auto-triage • Mensen konden verouderde IDRAC-webinterfaces niet laden • ARTEMIS negeerde de browser en exploiteerde ze met curl -k Het vond zelfs kwetsbaarheden die geen enkele mens vond. De enige dingen die het vertraagden?...