Muskův osobní hacker založil vlastní startup. Jeho AI agent opravuje chyby v kódu za minuty místo dnů
Muž, který šest let hackoval Tesly zevnitř, teď chce s vlastním startupem za 2,5 miliardy korun změnit způsob, jakým firmy opravují bezpečnostní díry v softwaru.
Obsah článku
Yoni Ramon vedl ofenzivní bezpečnost v Tesle, kde jeho práce spočívala v hledání slabin v autech, robotice i solárních produktech dříve, než je objeví útočníci. Podle reportéra Thomase Brewstera z Forbes byl Ramon přizván i k zabezpečení dat při Muskově akvizici Twitteru, dnes přejmenovaného na X. Označení „Muskův osobní hacker“ je tedy novinářská zkratka pro člověka, který v Muskových firmách systematicky hledal zranitelnosti, aby je mohl odstranit. Teď Ramon spolu s Guyem Arazim založil startup Pi, který 10. června 2026 vyšel ze stealth režimu s jediným slibem: zkrátit cestu od nalezení bezpečnostní chyby k její opravě z dnů na desítky minut. A první zákazníci, včetně Muskovy laboratoře xAI, tvrdí, že to funguje.
Co přesně startup Pi dělá
Bezpečnostní skenery umí chyby nacházet stále rychleji. Problém nikdy nebyl pouze v detekci, ale v tom, co následuje po ní. Bezpečnostní tým musí ručně ověřit, jestli je nález skutečný, odfiltrovat duplicity, dohledat vlastníka příslušného kódu, pochopit kořenovou příčinu a nakonec napsat opravu, která odpovídá architektuře konkrétní firmy. Každý z těchto kroků může zabrat hodiny. Dohromady pak dny, někdy i týdny.
Pi tvrdí, že tyto kroky spojuje do jednoho automatizovaného toku. Firma popisuje svůj produkt jako agentickou bezpečnostní AI platformu, která čte zdrojový kód, cloudovou infrastrukturu, návrhové dokumenty, minulé incidenty i konverzace ze Slacku nebo Teams. Z toho všeho vytváří něco, co zakladatelé nazývají „institucionální bezpečnostní pamětí“ – tedy AI, která nejen rozumí aktuální chybě, ale dokáže využít zkušenosti firmy z řešení podobných problémů v minulosti.
Třicet minut od reportu k pull requestu
Nejkonkrétnější veřejný důkaz k titulkovému slibu nabízí partnerství Pi s platformou Bugcrowd. Workflow vypadá takto: textový report od etického hackera → reprodukce útoku v sandboxu → potvrzení nebo vyřazení falešného hlášení → kontrola duplicit → určení závažnosti podle skutečného prostředí firmy → dohledání správné vrstvy kódu → vytvoření pull requestu ve stylu daného repozitáře. Pi u tohoto řetězce uvádí dobu pod 30 minut a onboarding pod 25 minut. Přibližně 60 % vygenerovaných pull requestů se podle firmy u zákazníků sloučí bez dalších úprav.
Mark Carter, šéf bezpečnosti cestovní platformy Navan, popisuje přechod od nálezu k opravě „v minutách“ a tvrdí, že mu Pi šetří práci jednoho až dvou lidí na plný úvazek. Devět z deseti oprav prý jde sloučit automaticky. Důležitá poznámka: jde o výrok jednoho zákazníka, nikoli o nezávislý audit. Workflow ale stále počítá s lidskou kontrolou před finálním schválením. Pi tedy neslibuje úplné nahrazení bezpečnostního týmu, spíše dramatické zvýšení jeho kapacity.
Peníze, investoři a první zákazníci
Pi v červnu 2026 oznámilo investiční kolo ve výši 35 milionů dolarů (zhruba 830 milionů korun) při valuaci kolem 100 milionů dolarů. Mezi investory patří Brightmind Partners, Third Point Ventures a pozoruhodně i George Kurtz, zakladatel a šéf CrowdStrike, jedné z největších bezpečnostních firem na světě. To je zajímavý signál: Kurtz investuje vlastní peníze do startupu, který řeší vrstvu, kterou jeho vlastní platforma nepokrývá tak hluboko.
Mezi prvními zákazníky Pi figuruje podle Forbes Muskova laboratoř xAI. Na webu firmy jsou vidět i loga pojišťovny Lemonade, monitorovací platformy Teramind a zmíněného Navanu. Startup tedy nestojí pouze na „Musk connection“, i když mu tato vazba nepochybně otevírá dveře.
Konkurence: depthfirst a CrowdStrike
Pi nevstupuje na prázdný trh. Startup depthfirst, který podle databáze Dealroom dosáhl valuace kolem 580 milionů dolarů, staví produktovou architekturu šířeji: vedle analýzy kódu nabízí i skenování dodavatelského řetězce, detekci tajných klíčů a takzvaný agentický penetrační test, tedy runtime útok na běžící aplikaci s důkazem exploitu a automatickým retestem po opravě. To je vrstva, kterou Pi ve svých veřejných materiálech tak konkrétně neukazuje.
CrowdStrike pak operuje v úplně jiné váhové kategorii. Jeho platforma Falcon pokrývá správu zranitelností napříč endpointy, cloudem i sítí, prioritizuje nálezy podle vlastní threat intelligence a AI agent Charlotte řeší třídění detekcí i reakci na incidenty. Pi míří hlouběji, ale úžeji, výhradně do vrstvy oprav aplikačního kódu.
Skutečné odlišení Pi stojí na jedné tezi: každá jednou vyřešená bezpečnostní chyba se stane trvalou „pamětí“, která brání návratu celé třídy podobných problémů. Nejde jen o to, že AI napíše záplatu rychleji. Jde o to, že příště stejný vzorec chyby zachytí dříve, než se dostane do produkce. Je to zajímavý koncept, ale zatím podložený hlavně firemními materiály a hrstkou raných referencí.
Co by měly vědět české firmy
Pi má kanceláře v San Franciscu a Tel Avivu, veřejný ceník neexistuje a prodej probíhá přes demo formulář. Jazyk materiálů cílí na pokročilé globální společnosti s interním bezpečnostním týmem a bug bounty programem, tedy spíše na střední a velké softwarové firmy než na malé podniky.
Pro evropské a české firmy je klíčová otázka dat. Pi podle vlastního popisu pracuje se zdrojovým kódem, interní komunikací, incidenty i cloudovou infrastrukturou. Veřejná privacy policy firmy přitom zmiňuje hosting a provoz v USA. To znamená, že firmy z EU budou muset řešit přenos dat mimo Evropský hospodářský prostor: standardní smluvní doložky, vztah správce a zpracovatele podle GDPR a případně i klasifikaci podle AI Actu v závislosti na konkrétním nasazení.
Nic z toho není automatická překážka, ale jde o administrativní a právní vrstvu, kterou americké startupy v rané fázi typicky nemají plně připravenou.
Ramon vybudoval kariéru na tom, že nacházel slabiny dříve než útočníci. Teď vsadil na to, že největší slabina celého odvětví není v detekci, ale v rychlosti opravy. Jestli má pravdu, ukáže až širší nasazení za hranicemi prvních referenčních zákazníků.