Falls Sie die Live-Demonstration von Aikido KI-Penetrationstests verpasst haben, finden Sie hier eine kurze Zusammenfassung der Ereignisse. Wir haben eine echte Anwendung eingerichtet, die Bewertung konfiguriert und beobachtet, wie die Agenten Live-Abläufe getestet, die Anwendung untersucht und bestätigte Ergebnisse mit vollständigen Traces angezeigt haben.
Zu lang, nicht gelesen
Pentesting ist einer der langsamsten Bereiche der modernen Sicherheit. Teams führen täglich Einsätze durch, während offensive Tests immer noch einmal im Jahr stattfinden und als statische PDF-Datei geliefert werden, die bereits veraltet ist. Die Demo begann mit dieser Lücke und zeigte dann sofort, wie Aikido innerhalb des Produkts funktioniert.
%20(1).gif)
Das Einrichten eines Pentests in Aikido wie die Einweisung eines Red Teams. Sie definieren den Umfang in einfacher Sprache, wählen aus, welche Domänen Agenten angreifen dürfen und welche erreichbar bleiben müssen, und beschreiben den Authentifizierungsablauf genau so, wie Sie es einem menschlichen Tester erklären würden. Sie können MFA, SSO-Abläufe, Weiterleitungen oder mehrstufige Sequenzen einbeziehen. Die Agenten folgen diesen Anweisungen.
Sie können auch Repositorys verbinden und Kontext wie API-Spezifikationen, frühere Berichte und Dokumentationen hochladen. Mehr Kontext verbessert die Bewertung, die sowohl in der Demo als auch in unserer Dokumentation konsistent ist.
Sobald der Lauf begann, füllte sich das Dashboard mit Agenten-Terminals und Browser-Sitzungen. Man konnte beobachten, wie sie Routen erkundeten, Angriffsversuche durchführten, sich anpassten, wenn etwas gelang, und ihre Ergebnisse direkt in der Live-Umgebung validierten. Jede Aktion war sichtbar, bis hin zu Anforderungsprotokollen und Screenshots.
Die Ergebnisseite zeigte bestätigte Schwachstellen mit vollständigen Spuren und Reproduktionsschritten.
%20(1).png)
Ein Beispiel in der Live-Sitzung war ein Problem mit einer unsachgemäßen Zugriffskontrolle, bei dem private Notizen über einen API-Aufruf abgerufen werden konnten.
%20(1).png)
Ein weiterer Fehler war eine Befehlsinjektion, die AutoFix automatisch reparieren konnte. Mit einem Klick generierte die Plattform einen Pull-Request und ermöglichte einen erneuten Test, um die Reparatur zu bestätigen.
Die Plattform Aikidoist der größte Vorteil. Da das Produkt bereits Ihre Repositorys, Ihren Sicherheitskontext und das Verhalten Ihrer Anwendung versteht, testen die Agenten mit Hintergrundwissen, das herkömmlichen Ansätzen fehlt. Dieser Kontext verbessert die Tiefe der Bewertung und ermöglicht es AutoFix, sinnvolle, gezielte Korrekturen vorzunehmen.
%20(1).png)
Die Sitzung endete mit dem auditfähigen PDF-Bericht und einer Frage-und-Antwort-Runde zu den Themen Umfangskontrolle, Validierung, Testen der Geschäftslogik und kontinuierliches Penetrationstesten in normale Entwicklungsabläufe.
KI-Penetrationstests
Was sind KI-Penetrationstests Aikido?
Aikido koordinierte Agenten, die die Anwendung untersuchen, reale Benutzerabläufe verfolgen, Angriffspfade testen und die Ausnutzbarkeit validieren. Sie verwenden einen Browser, eine Terminalumgebung und einen HTTP-Client. Wenn Sie Code verbinden und Kontext hochladen, argumentieren die Agenten anhand von Logik und beabsichtigtem Verhalten, anstatt sich auf statische Payloads zu verlassen.
Das Ergebnis ist ein Pentest, der sich anpasst, erkundet und validiert.
Weiterlesen → https://help.aikido.dev/pentests/aikido-pentest
Wie unterscheidet sich das von herkömmlichen DAST ?
DAST basieren auf festen Mustern. Sie haben Schwierigkeiten mit Authentifizierungsschritten, Rollen und mehrstufigen Workflows. Außerdem neigen sie dazu, Störsignale zu erzeugen.
Aikido verhält sich eher wie ein menschlicher Angriffstest. Agenten lesen den Kontext, planen Aktionen, führen Angriffe durch, beobachten die Ergebnisse und passen sich an. Jede Erkenntnis muss in der Zielumgebung validiert werden, bevor sie im Bericht erscheint.
Welche Arten von Problemen können die Agenten finden?
Alles, was von einem Penetrationstest erwartet wird:
- SQL injection
- Command Injection / RCE
- XSS
- SSRF
- fehlerhafte Zugriffskontrolle
- IDOR / BOLA
- Authentifizierungsschwachstellen
- Unsichere oder sensible API-Pfade
Und entscheidend sind Geschäftslogik-Probleme, die davon abhängen, wie sich die Anwendung verhalten soll.
In der Demo identifizierten die Agenten eine Offenlegung privater Daten über eine API. In Kundenumgebungen haben sie Berechtigungsfehler, Workflow-Umgehungen und Probleme beim mandantenübergreifenden Datenzugriff festgestellt.
Weitere Details → https://help.aikido.dev/pentests/what-issues-can-aikido-pentest-find
Kann es wirklich IDOR- und Business-Logic-Fehler erkennen?
Ja. Wenn die Plattform Rollen, Datenflüsse und erwartetes Verhalten versteht, können die Agenten testen, ob Benutzer auf Ressourcen zugreifen oder diese ändern können, die sie nicht sollten. In mehreren Vergleichen mit menschlichen Penetrationstestern deckte der autonome Lauf mehr Logikfehler auf.
Weitere Details → https://help.aikido.dev/pentests/understanding-and-detecting-idor-vulnerabilities
Wie verhindern Sie Halluzinationen oder False Positives?
Die Agenten können Hypothesen generieren, aber die Plattform vertraut ihnen erst, wenn sie validiert sind.
Für jedes vorgeschlagene Problem Aikido einen Reproduzierbarkeitstest direkt am Ziel Aikido .
Nur validierte Ergebnisse erscheinen im Bericht.
Wie halten Sie den Pentest sicher und im Rahmen?
Sie definieren:
- Angreifbare Domänen
- Erreichbare, aber nicht angreifbare Domains
- Authentifizierungsanweisungen
- Maximale Anzahl von Agenten
- Zulässige Teststunden
Der gesamte Netzwerkverkehr fließt durch einen Proxy, der alles außerhalb des Geltungsbereichs blockiert.
Pre-Flight-Checks bestätigen, dass Authentifizierung und Konnektivität funktionieren, bevor der Lauf beginnt.
Wenn der Pre-Flight fehlschlägt, wird das Guthaben zurückerstattet. Ein Panik-Button stoppt den Test innerhalb von Sekunden.
Weitere Details zum Umfang → https://help.aikido.dev/pentests/scope-of-assessment
Wird der Abschlussbericht für SOC 2 und ISO 27001 akzeptiert?
Ja. Die generierte PDF-Datei enthält Angaben zur Methodik, zum Umfang, zu den Details des Problems, zu den Reproduktionsschritten und zu den Abhilfemaßnahmen.
Kunden nutzen diese Berichte bereits für SOC 2, ISO 27001 und Lieferantenbewertungen.
Sie können hier auch einen Beispielbericht im PDF-Format herunterladen: https://www.aikido.dev/attack/aipentest#report
Wie lassen sich KI-Penetrationstests mit manuellen Penetrationstests KI-Penetrationstests ?
Dies wurde in der Demo behandelt. Bei Webanwendungen liefert der autonome Durchlauf eine Abdeckung, die mit einem manuellen Pentest vergleichbar ist, und in mehreren Fällen wurden logische Fehler aufgedeckt, die dem menschlichen Team entgangen waren.
Die Ergebnisse unseres Whitepapers stimmen damit überein: KI identifizierte tiefgreifende logische Probleme wie IDORs, Authentifizierungsumgehungen und Fälschungen von elektronischen Signaturen, die von Menschen übersehen wurden, während sich Menschen eher auf Konfiguration und compliance konzentrierten.
KI erledigt Aufgaben in Stunden statt in Wochen.
Die meisten Teams verwenden KI-Penetrationstests Grundlage und fügen bei Bedarf eine manuelle Überprüfung hinzu.
Muss ich Zugriff auf meinen Code gewähren?
Das ist nicht zwingend erforderlich, aber durch die Verbindung von Repositorys wird die Bewertung deutlich aussagekräftiger. Mit Zugriff auf den Code können die Agenten Logikpfade, Datenregeln, Rollen und Workflow-Annahmen nachvollziehen. Dieser Kontext verbessert die Abdeckung und reduziert Spekulationen.
Der Black-Box-Modus funktioniert weiterhin, ist jedoch naturgemäß langsamer und weniger vollständig, da die Agenten die Struktur von außen ableiten müssen.
Wie funktioniert die Preisgestaltung?
Drei gängige Einstiegspunkte:
- Feature-Pentest: CI/CD und Bereitstellung neuer Funktionen
- Standard-Pentest: Umfassende Prüfung
- Erweiterter Pentest: Tiefere Analyse ausgereifter Anwendungen
- Enterprise (individuelle Preisgestaltung): Für Unternehmen mit anspruchsvollen Anforderungen an Offensive Testing
Eine detailliertere Aufschlüsselung finden Sie hier: https://www.aikido.dev/attack/aipentest
Welche Rolle spielt AutoFix?
AutoFix wandelt eine bestätigte Schwachstelle in eine konkrete Codeänderung um. In der Demo führte eine Command-Injection-Entdeckung zu einem Pull-Request mit der exakten Korrektur.
Der Wert ist die Schleife:
Angriff findet → AutoFix schlägt einen PR vor → Sie führen die Zusammenführung durch → Angriff testet die Korrektur erneut.
Da Aikido Ihre Repositorys und Strukturen Aikido kennt, sind die Korrekturen zielgerichtet und die Überprüfung erfolgt sofort.
Wie funktioniert die Wiederholungsprüfung?
Sie können jedes Problem nach der Bewertung drei Monate lang so oft wie nötig erneut testen. Bei jedem erneuten Test werden neue Agenten gestartet, um den Exploit erneut zu versuchen und sicherzustellen, dass die Korrektur hält.
Wohin geht die Reise als Nächstes?
Zwei in der Demo besprochene Richtungen:
- Reibungsloseres Onboarding dank verbesserter Vorabkontrollen und automatischer Bonitätsprüfung.
- kontinuierliches Penetrationstesten. Standardmäßig wird ein Angriff auf die Staging-Umgebung ausgeführt, der bei Bereitstellungen oder Pull-Anfragen ausgelöst wird, und es wird von einer jährlichen PDF-Datei zu einer fortlaufenden Überprüfung übergegangen.
Pentesting wird Teil Ihrer Lieferkette.
Sehen Sie selbst
Sichern Sie Ihre Software jetzt.
.avif)
