Фаундер из Узбекистана создал стартап, который проверяет безопасность компаний с помощью AI
Пока ChatGPT пишет тексты и генерирует код, стартап Cerberus Tech из Узбекистана учит искусственный интеллект искать уязвимости в корпоративных системах. Основатель компании Азиз Ахмедходжаев рассказал The Tech, как научное открытие, сделанное в 17 лет, легло в основу AI-хакера, почему банки уже тестируют продукт и зачем компании понадобился собственный язык программирования для контроля действий ИИ.
Азиз Ахмедходжаев, город — Ташкент, CEO & Founder Cerberus Tech, CEO & Founder C7 Cybersecurity, LinkedIn
Как все началось
Мы занимаемся белым хакингом — это когда банки, крупные компании и другие организации сами нанимают хакеров для поиска уязвимостей в своих системах.
По сути, мы хотели сделать сервис, который работает по принципу ChatGPT, только для кибербезопасности. Вместо запроса «напиши письмо» пользователь может сказать: «Проверь этот сайт» или «Найди уязвимости в этом приложении», — и система выполнит задачу.
При этом делает она это быстро и значительно дешевле традиционного тестирования. Себестоимость проверки одного приложения у нас составляет около восьми долларов, а сама проверка занимает всего несколько часов.
Идея AI-хакера сама по себе не новая. О такой системе мечтали давно. Но главная проблема заключается не в том, чтобы создать искусственный интеллект, который умеет взламывать системы. Главный вопрос — можно ли ему доверить доступ к критически важной инфраструктуре. Существующие AI-системы не дают такой гарантии. Если предоставить им слишком широкие полномочия, они могут выйти за рамки поставленной задачи и нанести ущерб. Именно поэтому большинство компаний не готовы доверять им реальные корпоративные или банковские системы.
Наша задача состояла в том, чтобы создать безопасного AI-хакера, которого можно полностью контролировать. Пользователь задает конкретную цель — например, проверить определенный сайт или приложение, — и система работает исключительно в этих рамках. Мы математически гарантируем, что она не выполнит никаких действий за пределами поставленной задачи.
Для этого мы разработали собственный язык программирования, специально предназначенный для управления действиями AI. Мы обучили на нем нашу модель, поэтому она не просто генерирует ответы, а последовательно пишет и выполняет код до тех пор, пока не достигнет поставленной цели, оставаясь при этом в заданных ограничениях.

Запуск стартапа
Если говорить о развитии стартапа, то история началась намного раньше. Все берет начало еще с того момента, когда мне было 17 лет. Тогда я сделал научное открытие в области теоретической информатики, а если точнее — в математической теории, которая изучает безопасность языков программирования. Мне повезло сделать это в достаточно раннем возрасте, опубликовать результаты исследования и получить признание.
В тот момент я думал, что это открытие применимо только к языкам программирования. После этого я еще около двух лет продолжал заниматься исследованиями.
Спустя примерно полтора года я открыл в Узбекистане компанию, которая занималась пентестами, аудитом безопасности и белым хакингом. Мы помогали компаниям находить уязвимости в своих системах.
Когда появились ChatGPT и современные AI-модели, мы вместе с командой поняли, что мое научное открытие можно применить совершенно в другой области — использовать математику для того, чтобы сделать искусственный интеллект безопасным. По сути, создать механизм, который позволит контролировать действия AI так, как до этого никто не делал.
После этого мы потратили больше полутора лет на исследования, создание прототипов и доработку продукта. Со стороны может показаться, что все получилось быстро, но на самом деле за этим стояла огромная исследовательская работа. Мы разрабатывали собственный язык программирования для управления системой, обучали модели, тестировали разные подходы и постепенно доводили продукт до того уровня, который есть на сегодняшний день.
Команда
Команда тоже сформировалась не сразу. Мы познакомились еще во время учебы в университете. Тогда при университете действовал клуб по кибербезопасности, а параллельно я организовал бесплатный интенсив по хакингу. Мне хотелось не только готовить новое поколение специалистов, но и находить сильных людей, с которыми можно будет работать дальше.
На первый поток пришло около 100 человек. Но обучение было интенсивным. Уже в первые недели значительная часть участников отсеялась, затем выбыло еще больше людей. В итоге программу прошли всего несколько человек — именно они оказались самыми сильными.
С большинством нынешней команды мы познакомились именно там. Они были лучшими участниками интенсива, и после его окончания мы начали вместе работать. Но не все сотрудники пришли из одного университета. Например, Аббос Рихсиев, который отвечает у нас за развитие бизнеса, окончил МГИМО. Это вполне логично: человек, отвечающий за развитие компании, должен обладать сильной бизнес-экспертизой, а не только техническими знаниями.
Команда всегда активно участвовала в соревнованиях по кибербезопасности. Мы выступали на различных турнирах в Узбекистане, а также сами организовывали крупные соревнования по кибербезопасности в стране.
Целевая аудитория
Все первые клиенты пришли к нам через нашу предыдущую компанию C7 Cybersecurity, которая уже много лет занимается аудитом информационной безопасности и остается одной из ведущих компаний в этой сфере в Узбекистане.
За это время мы работали с большим количеством банков и крупных предприятий. Когда появился новый продукт, мы предложили протестировать его тем клиентам, с которыми уже сотрудничали ранее. Для них мы разворачивали trial- и демо-версии, чтобы они могли оценить возможности решения в реальных условиях.
Сейчас продукт уже тестируют многие банки Узбекистана. Как правило, пилотный период длится около трех месяцев, после чего компании принимают решение о полноценном внедрении.
Мы продаем продукт по лицензии. Для корпоративных клиентов минимальная стоимость лицензии составляет $60 000 в год. В эту сумму входит не только доступ к продукту, но и техническая поддержка, сопровождение и другие корпоративные сервисы.
Помимо банков, которые ранее были нашими клиентами по направлению кибербезопасности, у нас уже есть несколько enterprise-клиентов, использующих продукт в рабочем режиме.
Программы инкубаций
Если говорить о развитии стартапа, одним из важных этапов стало участие в акселерационной программе 500 Global. В течение трех месяцев команда проходила подготовку, после чего выступила на Demo Day перед инвесторами. Такие программы помогают стартапам не только доработать продукт и бизнес-модель, но и привлечь финансирование уже при более высокой оценке компании.
На первом этапе стартап развивался полностью за счет собственных средств. Все доходы от нашей компании в сфере кибербезопасности мы инвестировали в разработку нового продукта. Значительная часть бюджета уходила на исследования, создание лаборатории для тестирования, обучение моделей и проведение экспериментов. Поэтому первоначальная разработка полностью финансировалась за счет бизнеса, который к тому моменту уже более трех лет работал на рынке информационной безопасности.
Впоследствии стартап привлек внешние инвестиции, однако общую сумму привлеченного финансирования пока раскрывать не можем.

Трудности
Кибербезопасность — одна из самых сложных и ответственных сфер, потому что речь идет о защите критически важной инфраструктуры и данных людей. Практически все сферы жизни управляются программным обеспечением: банковская система, энергетика, транспорт, государственные объекты, медицина, промышленность и даже оборонные технологии. Все это работает благодаря компьютерным системам, а значит, может стать целью кибератак.
И это не гипотетическая угроза — подобные инциденты происходят регулярно. Один из самых известных примеров — атака на американскую компанию Colonial Pipeline. Подобные атаки происходят и в сфере здравоохранения. Хакеры взламывают больницы, блокируют доступ к медицинским системам и требуют выкуп. В таких ситуациях счет может идти буквально на часы, поскольку от работы оборудования зависят жизни пациентов. Именно поэтому кибербезопасность требует особенно высокого уровня ответственности и надежности.
Самой большой сложностью стало создание технологии, которой раньше не существовало. Разработка продукта, основанного на собственных научных исследованиях, потребовала долгой работы: мы неоднократно переписывали архитектуру, тестировали систему на реальных инфраструктурах, дорабатывали алгоритмы и проводили большое количество исследований. Создать решение, которое действительно является новым для рынка — непростая задача.
Говоря о советах начинающим предпринимателям, я бы рекомендовал сначала получить глубокий опыт в той сфере, в которой вы хотите строить бизнес. Большинство стартапов, создаваемых людьми без отраслевой экспертизы, не доходят до успешного результата. Без понимания предметной области крайне сложно создать продукт, который будет действительно востребован и сможет предложить рынку что-то новое.
Поэтому сначала стоит накопить знания и практический опыт, а уже затем запускать собственный проект. Это значительно повышает шансы на успех.
При этом важно не бояться рисков. Как добавил один из участников нашей команды, тот, кто совсем не готов рисковать, в конечном итоге рискует больше всех. Главное — сделать первый шаг, оставаться верным своим принципам, продолжать двигаться вперед и верить в то, что делаешь.
Достижения
Одним из главных личных достижений стало научное открытие, которое удалось сделать в 17 лет в области теоретической информатики и теории вычислений. Для науки возможность получить новый результат, которого ранее не существовало — само по себе значимое достижение, а сделать это в столь раннем возрасте стало важным этапом профессионального пути.
В 18 лет я стал самым молодым участником за всю историю летней PhD школы Scottish Programming Languages and Verification Summer School в Шотландии. Это не полноценная PhD-программа, а международная исследовательская школа, организованная ведущими университетами Шотландии и Великобритании. Она посвящена теории языков программирования — направлению, которым я занимаюсь. Большинство участников были аспирантами и докторами наук.
Отдельным достижением стала команда, которую удалось собрать вокруг проекта. В нее входят специалисты с сильным академическим и соревновательным опытом. Так, Сарвар Базаров — призер Международной олимпиады по финансовой безопасности, которая ежегодно проходит в Сочи. В соревновании участвовали представители более чем 35 стран, а сам он два года подряд представлял Узбекистан и занимал призовые места. Имрон Махмудов, в свою очередь, — чемпион по хакингу и победитель крупнейших профильных турниров.
Главным достижением стартапа стала разработка системы, которая позволяет за минимальное время, с минимальными затратами и минимальным риском проводить полноценное тестирование безопасности реальных компаний и цифровых продуктов.
Если в ChatGPT можно поставить задачу «Напиши письмо партнеру», то в нашей платформе пользователь может дать команду: «Проверь сайт моей компании и найди уязвимости». Продукт распространяется по лицензии, поэтому тестирование возможно только для собственных систем. Пользователь загружает сайт или приложение, задает сценарии проверки, после чего система самостоятельно проводит легальное тестирование безопасности. На сегодняшний день полноценную проверку можно запустить буквально в два клика — именно на достижение такого уровня автоматизации ушла основная часть исследований и разработки.
Планы
До конца года мы планируем максимально масштабироваться. Если говорить образно — «забрать» рынок. В Узбекистане для этого сейчас благоприятные условия. Мы уже работаем с большой частью крупных банков и компаний страны, и эта работа продолжается.
Одной из наших главных целей было привлечение инвестиций от 500 Global, потому что это один из крупнейших венчурных фондов в мире. Именно они были ранними инвесторами таких компаний, как Canva, GitLab и многих других технологических лидеров. Для нас это был важный шаг, поскольку мы изначально ориентировались на выход на международный рынок.
Сейчас у нас уже зарегистрирована корпорация в США, и именно через нее мы будем развивать международную экспансию. В планах — рынки США, Европы, Великобритании и Центральной Азии.
