Comparing AI Agents to Cybersecurity Professionals in Real-World Penetration Testing

Deze studie presenteert ARTEMIS, een nieuw AI-agentkader dat in een live enterprise-omgeving met 8.000 hosts tweede eindigde en negen van de tien menselijke beveiligingsprofessionals versloeg door 9 geldige kwetsbaarheden te vinden, hoewel er nog uitdagingen blijven bij het verminderen van vals-positieven en het uitvoeren van GUI-taken.

De kern

Stel je voor dat je een enorm, oud kasteel hebt met duizenden deuren, ramen en geheime gangen. Dit kasteel is de universiteit van Stanford, en de "deuren" zijn de computer-systemen die ze gebruiken.

De onderzoekers uit dit paper hebben een heel interessante wedstrijd georganiseerd. Ze wilden weten: Wie is beter in het vinden van de slechte deuren in dit kasteel?

1. De Menselijke Huisdieren: Een groep van 10 echte, betaalde beveiligingsexperts (de "penetration testers"). Dit zijn de ervaren slotenmakers die je huurt om te kijken of je huis veilig is.
2. De Robot-Teamleden: Een groep van AI-agenten (computers die zelfstandig kunnen denken en handelen). Ze hadden zelfs een nieuwe, slimme robot genaamd ARTEMIS in de strijd geworpen.

Hier is wat er gebeurde, verteld in simpele taal:

🏆 De Uitslag: De Robot wint (bijna)

Het was een verrassende wedstrijd!

• De menselijke experts deden het goed. Ze vonden veel slechte deuren.
• De oude AI-robots deden het slecht. Ze raakten in de war, gaven het snel op of vonden niets.
• Maar ARTEMIS, de nieuwe robot, was een ster. Hij deed het beter dan 9 van de 10 menselijke experts. Hij vond 9 echte, gevaarlijke zwakke plekken en plaatste zich op de tweede plek overall.

💰 De Kosten: Een robot is goedkoper

Dit is misschien wel het belangrijkste deel.

• Een menselijke expert kost ongeveer $60 per uur.
• De robot ARTEMIS kostte slechts $18 per uur.
• De analogie: Het is alsof je een dure, ervaren slotenmaker huurt, maar je kunt in plaats daarvan een super-snel, goedkoop robot-teamje huren dat net zo goed werkt, maar voor een derde van de prijs.

🤖 Hoe werkt de robot? (De "Zwerm")

De oude AI's werkten als een eenzame detective: ze keken naar één ding, dachten na, en probeerden het. Als ze vastliepen, gaven ze op.

ARTEMIS werkt anders. Het is een hoofd-detective met een heel team van helpers.

• De Supervisor: Dit is de chef. Hij kijkt naar het grote plaatje.
• De Sub-agenten: Zodra de chef een verdachte deur ziet, roept hij direct een speciaal teamje op om die deur te openen. Terwijl dat teamje werkt, zoekt de chef al naar de volgende deur.
• De Triager: Dit is de kwaliteitscontroleur. Hij kijkt of de gevonden "deur" echt open is of dat de robot droomde. Hij zorgt dat er geen nep-rapporten worden ingediend.

🚧 Waar de robot nog vastloopt

De robot is niet perfect. Hij heeft een paar zwakke punten:

1. Hij ziet geen schermen: Mensen kunnen makkelijk naar een computerbeeldscherm kijken en een muis gebruiken. De robot kan dat nog niet goed. Als een beveiligingsprobleem alleen op een scherm te zien is (zoals een knopje dat je moet klikken), raakt de robot in de war.
2. Hij ziet geesten: De robot vindt soms "deuren" die er niet zijn (nep-gevaar). Mensen zijn beter in het direct zien dat iets veilig is.
3. Hij is te snel: Soms vindt de robot iets kleins, loopt hij direct door naar de volgende deur, en mist hij daardoor een grote deur die daarachter verstopt zat. Mensen blijven soms langer hangen bij één ding om het grondig te onderzoeken.

🏰 Waarom is dit belangrijk?

Vroeger dachten mensen dat AI alleen maar goed was voor simpele raadsels of het oplossen van CTF-spellen (digitale schatgraven). Dit paper toont aan dat AI nu echt gevaarlijk (en nuttig) kan zijn in de echte wereld.

• Voor de slechteriken: Als hackers deze robots gebruiken, kunnen ze in no-time duizenden gebouwen inbreken.
• Voor de verdedigers: Als beveiligingsexperts deze robots gebruiken, kunnen ze hun eigen systemen 24/7 controleren voor een fractie van de kosten.

Conclusie

De robot ARTEMIS is als een super-snelle, goedkope, en onuitputtelijke hond die constant rond het kasteel loopt en elke kier opzoekt. Hij is nog niet perfect (hij kan geen muis vasthouden en ziet soms spookdeuren), maar hij is al veel slimmer en goedkoper dan de meeste menselijke bewakers.

De boodschap is duidelijk: AI is hier om te blijven in de cybersecurity-wereld. We moeten leren om met deze robots te werken om onze digitale kastelen veiliger te maken, voordat de slechteriken ze voor ons gebruiken.

Technische samenvatting

Probleemstelling

De snelle vooruitgang in AI-capaciteiten roept zorgen op over de risico's die AI vormt voor de wereldwijde cybersecurity. Hoewel er veel benchmarks bestaan om AI-risico's te meten (zoals CTF-uitdagingen, CVE-reproductie of statische code-analyse), missen deze vaak de operationele realiteit van live systemen. Ze negeren complexe factoren zoals ruis, interactie met gebruikers, het hergebruik van gestolen credentials en het keten van misconfiguraties in een echte enterprise-omgeving. Er is een gebrek aan empirisch bewijs over hoe autonome AI-agenten presteren in vergelijking met menselijke cybersecurity-professionals in een live, productie-achtige omgeving.

Methodologie

De auteurs voerden de eerste uitgebreide vergelijking uit tussen menselijke cybersecurity-experts en AI-agenten in een live enterprise-omgeving.

• Doelomgeving: Een groot onderzoeksuniversiteitsnetwerk met ongeveer 8.000 hosts verdeeld over 12 subnets (zowel publiek als privé via VPN). Het netwerk bevatte een heterogene mix van Unix-systemen, IoT-apparaten, Windows-machines en embedded systemen.
• Deelnemers:
  • 10 Menselijke Professionals: Geselecteerd op basis van ervaring, certificeringen (zoals OSCP, CRTO) en eerdere CVE-bijdragen. Ze kregen elk een Kali Linux VM en hadden tot 10 uur actieve tijd.
  • 6 Bestaande AI-agenten: Inclusief Codex, CyAgent, Claude Code, Incalmo en MAPTA.
  • ARTEMIS (Nieuw): Een nieuw ontwikkeld multi-agent framework (Automated Red Teaming Engine with Multi-agent Intelligent Supervision).
• Beveiliging en Ethiek: Het onderzoek vond plaats onder strikte beveiligingsprotocollen (IRB-goedkeuring). Een menselijke supervisor en IT-personeel monitoren de sessies in real-time om destructieve acties (zoals DoS of data-verlies) te voorkomen. Alle gevonden kwetsbaarheden werden verantwoord gedocumenteerd en gepatcht voordat het paper werd gepubliceerd.
• Scorekader: In plaats van alleen "low-hanging fruit" te belonen, werd een unificatie scoremodel gebruikt dat technische complexiteit (detectie + exploitatie) en zakelijke impact (gewicht op kritieke/severe kwetsbaarheden) combineert.

Belangrijkste Bijdrage: ARTEMIS

Het paper introduceert ARTEMIS, een geavanceerd multi-agent framework dat is ontworpen om de cybersecurity-capaciteiten van frontier-modellen beter te activeren.

• Architectuur: Bestaat uit een Supervisor die de workflow beheert, een zwerm van sub-agenten (die dynamisch worden gegenereerd met specifieke prompts voor taken), en een Triage-module voor validatie.
• Innovaties:
  • Dynamische Prompt Generatie: Creëert taak-specifieke system prompts voor sub-agenten om fouten te voorkomen.
  • Context Management: Gebruikt slimme samenvattingen en een recursieve TODO-lijst om sessies langdurig te laten doorgaan (tot 16 uur), wat een knelpunt is bij bestaande agenten.
  • Automatische Triage: Verifieert of een kwetsbaarheid relevant, reproduceerbaar en niet-dubbel is voordat deze wordt ingediend.

Resultaten

De resultaten tonen aan dat ARTEMIS aanzienlijk beter presteert dan bestaande AI-scaffolds en de meeste menselijke deelnemers.

1. Ranking en Prestaties:
   • ARTEMIS (Configuratie A1, GPT-5): Eindigde tweede overall in de ranglijst, net achter de beste menselijke deelnemer (P1). Het vond 9 geldige kwetsbaarheden met een validatiepercentage van 82% en overtrof 9 van de 10 menselijke deelnemers.
   • Bestaande Agenten: Frameworks zoals Codex en CyAgent presteerden slechter dan de meeste menselijke deelnemers. Sommige agenten (zoals Claude Code en MAPTA) weigerden de taak volledig of bleven steken in vroege verkenning.
2. Kwaliteit van Vondsten:
   • Menselijke deelnemers vonden een breed scala aan kwetsbaarheden, maar ARTEMIS was beter in het vinden en exploiteren van technisch complexe kwetsbaarheden die verder gaan dan simpele scans.
   • ARTEMIS toonde een hoger percentage valse positieven dan mensen (vooral bij GUI-gerelateerde taken), maar slaagde er wel in om kwetsbaarheden te vinden die mensen misten (bijv. oude iDRAC-servers met verouderde cipher suites die moderne browsers weigerden te laden, maar die ARTEMIS via CLI kon benaderen).
3. Kosten-effectiviteit:
   • Kosten: ARTEMIS (A1) kostte ongeveer $18/uur (gebaseerd op API-kosten), terwijl professionele penetration testers gemiddeld $60-$125/uur kosten (of $125k+ per jaar).
   • ARTEMIS biedt dus een aanzienlijk betere kosten-prestatieverhouding, hoewel het nog niet volledig autonoom is zonder menselijke supervisie.
4. Gevonden Kwetsbaarheden:
   • Beide groepen vonden kritieke issues zoals SQL-injecties, standaard credentials (bijv. Dell iDRAC), en onbevoegde toegang tot SMB/LDAP.
   • Mensen waren beter in het navigeren door GUI's (bijv. TinyPilot web-interface voor RCE), terwijl ARTEMIS hierin tekortschoot maar juist excelleerde in CLI-gebaseerde exploits.

Significantie en Conclusie

Dit onderzoek levert het eerste empirische bewijs dat AI-agenten, wanneer ze correct worden gestructureerd (zoals ARTEMIS), kunnen concurreren met en zelfs kunnen overtreffen van menselijke cybersecurity-experts in live omgevingen.

• Paradigmaverschuiving: Het bewijst dat benchmarks zoals CTF's onvoldoende zijn; echte evaluatie vereist live netwerken.
• Toekomstperspectief: Hoewel AI-agenten nu al goedkoper en systematischer zijn in enumeratie en parallelle exploitatie, blijven er uitdagingen bestaan, zoals het omgaan met GUI's en het verminderen van valse positieven.
• Defensieve Toepassing: De openbaarmaking van ARTEMIS en de studie-artefacten helpt verdedigers om betaalbare, schaalbare AI-gestuurde beveiligingstools te adopteren om hun eigen systemen proactief te testen.

Het paper concludeert dat autonome AI-systemen een aanzienlijke, maar beheersbare, verschuiving in de cybersecurity-landschap brengen, waarbij de snelheid en schaalbaarheid van AI een nieuwe realiteit creëren die zowel voor aanvallers als verdedigers van toepassing is.