Allseek und Haicker schließen sich Aikido an. Gemeinsam entwickeln wir Aikido Attack: autonome KI-Pentests, die wie Hacker denken und in Stunden statt Wochen durchgeführt werden.
Warum ist das von Bedeutung?
Sicherheit muss mit der Geschwindigkeit moderner Software Schritt halten. Heutige Pentests sind wertvoll, werden aber durch Zeit, Kosten und ihren einmaligen Charakter ausgebremst. Die Zukunft sind keine jährlichen PDFs, sondern kontinuierliche, autonome Systeme, die mit Hacker-Intuition agieren.
Das ist es, was diese Teams entwickelt haben.
- Allseek, das Team, das Aikidos allerersten Pen-Test durchgeführt hat, entwickelt KI-Agenten, die wie echte Angreifer agieren und die Pfade verfolgen, die Hacker einschlagen würden.
- Haicker, gegründet vom Weltmeister-Hacker Philippe Dourassov und dem Ingenieur Manaf Mhamdi Alaoui, verwandelt menschliches Elite-Hacking in autonome Systeme.
Ein neues Modell:
- Pentests in Minuten statt Wochen
- Kontinuierliches Feedback mit sofortiger Fix-Validierung
- Kontext aus White-, Grey- und Black-Box in einem Workflow
- Autonome Agenten im großen Maßstab
Das ist die Zukunft: kontinuierliche, autonome Agenten, bei denen Menschen die Kreativität vorantreiben. Schneller, umfassender, zugänglich für jedes Team, nicht nur für die Fortune 5000.
Wie Philippe es ausdrückte:
„Durch die Zusammenarbeit kommen wir der Möglichkeit, ‚unhackbar‘ zu machen, einen weiteren Schritt näher.“
So funktioniert's
Autonomes Pen-Testing ist nicht nur schnelleres Scannen, es ist eine Kette spezialisierter KI-Agenten, die die Vorgehensweise von Hackern nachbilden: Schritt für Schritt erkunden, sondieren und validieren.
- Recon-Agenten sammeln Informationen über Systeme, Netzwerke und Organisationen
- Mapping-Agenten kartieren Angriffsflächen – Routen, Parameter, Tech-Stacks, Versionen.
- CVE-Hunters verknüpfen bekannte Schwachstellen mit entdeckten Versionen.
- Exploit-Agenten nutzen diese Erkenntnisse aus.
- Web-Schwachstellen-Agenten, die sich jeweils auf bestimmte Schwachstellentypen spezialisieren – zum Beispiel ist ein Agent darauf abgestimmt, Cross-Site-Scripting zu finden, während ein anderer auf SQL-Injections ausgerichtet ist.
- Logik-Sondierungs-Agenten, die die Geschäftslogik hinter der Anwendung identifizieren und dann versuchen, diese auszunutzen.
Es ist ein Staffelstab: Ein Agent entdeckt, der nächste gräbt tiefer. Sie passen Payloads an, lernen aus Ergebnissen und validieren den Kontext – so wie ein Hacker Angriffe miteinander verkettet.
Der Vorteil von Aikido liegt in Kontext und Abdeckung, Aikido Attack liefert einen unschlagbaren Cocktail:
- White-Box-Agenten lesen Ihren Code
- Grey-Box-Agenten interpretieren, wie sich Funktionen verhalten
- Black-Box-Agenten testen die Live-Oberfläche
- Fügen Sie Anreicherung von der breiteren Aikido-Plattform hinzu, denken Sie an: SAST, API-Scanning, CSPM und Attack Surface Mapping. Zusammen gewinnen Agenten sowohl Tiefe als auch Breite und gehen über reines Muster-Matching hinaus zu echtem autonomen Denken.
Das Ergebnis: Penetrationstests, die nicht nur Muster finden, sondern wie Hacker denken.
Was sich heute ändert
Mit Aikido Attack können Teams:
- Einen Penetrationstest in Minuten starten (statt in Wochen)
- Probleme kontinuierlich erneut testen, sobald Fixes ausgeliefert werden
- Umsetzbare Ergebnisse in Stunden erhalten, nicht PDFs alle 6 Monate
- Zugang zu echter kontinuierlicher Offensive Security zu einem Bruchteil der Kosten erhalten
Was das für Teams bedeutet
- Entwickelnde: sofortiges Feedback, weniger Engpässe, schnellere Fehlerbehebungen
- Security-Verantwortliche: kontinuierliche Absicherung statt Momentaufnahmen
- Penetrationstester: mehr Raum für Kreativität, Fokus auf Schwachstellen, die KI nicht erkennt
Die 6-Milliarden-Dollar-Pentest-Branche hat nicht Schritt gehalten. Berichte dauern Wochen, kosten Tausende und sind veraltet, bevor Patches implementiert werden. Zwei Drittel der Sicherheitsverletzungen nutzen Schwachstellen aus, die seit über 90 Tagen ungepatcht sind.
Der Punkt ist: Penetrationstests sind entscheidend, aber überfällig für eine Neuerfindung. Menschliche Kreativität ist unersetzlich, doch 90 % (Mapping, Probing, Retesting) können und sollten automatisiert werden. Autonome Systeme laufen kontinuierlich, bei Bedarf und zu einem Bruchteil der Kosten, wodurch Menschen für die schwierigsten Probleme frei werden… und kontinuierliche Sicherheit zu einer zugänglichen Realität wird.
Ausblick
Dies ist erst der Anfang von Aikido Attack. Pentests sollten On-Demand, kontinuierlich und entwickelndenfreundlich sein. Nennen Sie es „no bullshit“, wenn Sie möchten ;) Der frühe Zugang wird bald geöffnet und wir können es kaum erwarten zu sehen, wie Teams es nutzen.
Wir freuen uns, Wout Debaenst, Miel Verkerken, Arne Feys, Philippe Dourassov und Manaf Mhamdi Alaoui im Aikido-Team begrüßen zu dürfen.
Erhalten Sie frühen Zugang → aikido.dev/attack/aipentest
