Du kennst dieses Problem bereits, weil du es selbst erlebst.
Wenn Sie ein wachsendes Unternehmen sind, führen Sie einmal im Jahr einen Penetrationstest durch – vielleicht zweimal, wenn compliance dies compliance . Sie planen den Auftrag, frieren Änderungen ein, warten wochenlang und erhalten schließlich ein PDF. Bis der Bericht vorliegt, hat sich Ihre Anwendung bereits wieder geändert.
Wenn Sie ein größeres Unternehmen mit einem internen Sicherheitsteam sind, sieht die Situation anders aus, aber die Einschränkung ist dieselbe. Ihr Team führt Tests durch. Das macht es gut. Aber es muss jeden Tag schwierige Entscheidungen darüber treffen, was es abdeckt und was es auslässt, da es nicht jede Änderung in jedem Bereich so gründlich überprüfen kann, wie es eigentlich notwendig wäre. Es trifft nicht nur Entscheidungen über die Ergebnisse, sondern auch darüber, was überhaupt geprüft wird.
Auf beiden Seiten hält das Testen nie mit dem Versand Schritt. Heute ändert sich das.
Die Lücke, die sich mit jedem Einsatz vergrößert
Stellen Sie sich Ihre Commit-Historie des letzten Jahres vor. Stellen Sie sich nun Ihre Penetrationstests vor, egal ob es sich dabei um zwei externe Aufträge oder die kontinuierlichen Bemühungen Ihres internen Teams handelt.
Ihre Engineering-Organisation kann täglich Tausende von Zeilen ausgeben. Ihr Sicherheitsteam kann, unabhängig davon, wie kompetent oder gut ausgestattet es ist, nur einen Bruchteil davon manuell mit der Tiefe eines Penetrationstests überprüfen.
Jede Änderung, die nicht getestet wurde, ist eine Version Ihrer Anwendung, die nie vollständig validiert wurde. Wenn zwischen den Tests eine Schwachstelle eingeführt wurde, bleibt diese in der Produktion bestehen, bis das nächste Mal jemand diesen Pfad überprüft. Die Angriffsfläche wächst mit jeder Bereitstellung. Die Sicherheitskapazität wächst jedoch nicht entsprechend mit.
Dies ist ein strukturelles Problem. Es lässt sich nicht durch schnellere Scans, bessere Warnmeldungen oder mehr Personal beheben. Wir müssen das Modell ändern. Von 500 befragten Sicherheits- und Technikverantwortlichen führen 76 % jede Woche oder noch häufiger bedeutende Produktionsänderungen durch. Nur 21 % überprüfen die Sicherheit bei jeder Veröffentlichung. Und 85 % gaben an, dass ihre Sicherheitsergebnisse bereits veraltet sind, wenn die Analyse vorliegt.
Die Lücke zwischen Schiff und Sicherheit ist nicht nur theoretischer Natur. Sie ist das Fenster, durch das Angreifer eindringen. Und sie werden immer schneller: Diese Woche haben Forscher bekannt gegeben, dass ein einzelner Hacker Claude genutzt hat, um in mehrere mexikanische Regierungsbehörden einzudringen und 150 GB an Steuerzahler- und Wählerdaten zu stehlen. Eine Person, ein KI-Tool, Tausende automatisierte Befehle. Angreifer verfügen mittlerweile über mächtige Werkzeuge. Es ist an der Zeit, dass auch die Verteidiger ihre bekommen.
Aikido betreten
Als wir letzten Monat unsere Serie B ankündigten, gaben wir ein Versprechen: Das nächste Kapitel von Aikido sich um selbstsichernde Software drehen. Software, die sich selbst schützt, während sie entwickelt und veröffentlicht wird. Heute lösen wir dieses Versprechen ein.
Was es ist
Aikido ist ein kontinuierlicher autonomer Penetrationstest mit integrierter Fehlerbehebung. Bei jeder Änderung Ihrer Anwendung testen autonome Agenten die Bereitstellung, validieren, was tatsächlich ausnutzbar ist, generieren Patches und testen die Korrekturen erneut, bevor der Code in die Produktion gelangt: Pentest bei jeder Veröffentlichung. Automatische Patch-Installation.
Nein, es ist kein DAST LLM-Lippenstift.
Jahrelang DAST das, was der Branche am nächsten an kontinuierliche Sicherheitstests kam, und niemand hat jemals gesagt: „Dieses DAST großartig“ (sorry, not sorry). Es fehlt an Tiefe. Es fehlt an Signal-Rausch-Verhältnis. Es fehlt an Korrekturen. Infinite funktioniert anders: autonome offensive Agenten, die das Anwendungsverhalten analysieren, mehrstufige Angriffspfade verknüpfen, eine umfangreiche Tool-Suite nutzen und die Ausnutzbarkeit durch echte Ausnutzung validieren. In einem Fall entdeckten die Agenten, dass in einer Anwendung zum Signieren von Dokumenten Signaturfälschungen möglich waren: Entdeckte Änderungen bei der Authentifizierung -> Als Mitglied angemeldet -> Eskalierte Berechtigungen -> Bestätigte fehlerhafte Autorisierung. Das ist nichtdynamisches Scannen Ihrer Großväter.
So funktioniert's
Wenn neuer Code eintrifft, analysiert Aikido die Unterschiede und identifiziert Änderungen, die sich auf Ihre Angriffsfläche auswirken. README und Schaltflächenfarbe aktualisiert? Übersprungen. Authentifizierungslogik oder API-Endpunkte geändert? Agenten ermitteln die Auswirkungen und starten.
1. Entdecken: Infiniteerfasst den Kontext aus der Code-to-Runtime-Plattform Aikido(Quellcode, Anwendungsarchitektur, API-Spezifikationen, Cloud-Konfiguration) und bildet die gesamte Angriffsfläche ab, einschließlich undokumentierter Endpunkte, versteckter Logikpfade und architektonischer Anomalien, deren manuelle Überprüfung zu zeitaufwändig wäre. Die Agenten analysieren Ihr System als Ganzes und verstehen, wie Komponenten interagieren und wo Annahmen nicht mehr zutreffen.
2. Nutzen Sie jeden geänderten Pfad: Hier unterscheidet sich Infinite von Scanner-Prüfungen, die Komponenten isoliert betrachten, ein Repository, eine Datei, ein theoretisches Risiko nach dem anderen. In der Realität gibt es jedoch Sicherheitslücken an allen Ecken und Enden. Eine einzige geänderte Zeile kann sich auf alle geschützten Routen in Ihrer Anwendung auswirken. Zwei Änderungen, die einzeln betrachtet sicher sind, können in Kombination gefährlich sein: ein neues API-Feld hier, eine gelockerte Berechtigungsprüfung dort, und plötzlich kommt es zu einem mandantenübergreifenden Datenleck, das keine der beiden Änderungen für sich allein verursacht hätte.
Genau solche Probleme sollen durch Pentesting aufgedeckt werden, da sie nur in der realen, laufenden Konfiguration auftreten, in der Komponenten als Ganzes interagieren. Das Problem war bisher immer, dass es schwierig und kostspielig ist, jede Kombination in dieser Tiefe zu testen. Infinite macht dies zum Standard. Spezielle Agenten verfolgen jeden möglichen Angriffsweg über die betroffene Oberfläche hinweg: Injection-Schwachstellen, fehlerhafte Zugriffskontrolle, Authentifizierungsschwachstellen, SSRF, Fehler in der Geschäftslogik, mandantenübergreifende Datenoffenlegung – alles unter Verwendung realer Angriffspfade anstelle von festen Payloads. Wenn ein Agent etwas findet, wird diese Information in den Kreislauf zurückgespielt und deckt so verkettete Risiken auf. Die Agenten arbeiten parallel über alle sicherheitsrelevanten Funktionen hinweg.
3. Validieren: JedeErkenntnis wird durch direkte Ausnutzung gegenüber dem Live-Ziel bestätigt. Probleme, die nicht reproduziert werden können, fließen nicht in die Ergebnisse ein.
4. AutoFix und erneuter Test: AutoFix generiert einen merge-fähigen PR mit der spezifischen Korrektur auf Codeebene, die auf Ihre tatsächliche Implementierung zugeschnitten ist. Entwickler überprüfen, mergen und Agenten testen automatisch erneut, um zu bestätigen, dass die Korrektur funktioniert. Innerhalb weniger Stunden wird eine Schwachstelle von entdeckt über behoben bis hin zu verifiziert.
Da Infinite in die Aikido integriert ist, verfügt es über einen Kontext, den eigenständige Pentesting-Tools einfach nicht bieten können. Dieser Kontext zwischen Infrastruktur und Code sorgt für tiefgreifendere Erkennung, präzisere Korrekturen und tatsächlich praktikable kontinuierliche Tests.
Was früher Wochen oder Quartale gedauert hat, geschieht nun innerhalb von Stunden. Die Agenten erledigen die Routinearbeit. Ihr Team überprüft, führt zusammen und macht weiter.
_1-2.png)
Freigabe → Pentest-Diff → Patch → Erneuter Test → Übertragung in die Produktion.
Bewährt in der Praxis
Diese Agenten finden bereits komplexe Schwachstellen in weit verbreiteten Anwendungen und Frameworks, Probleme, die selbst nach jahrelanger Überprüfung durch die Community und Experten unentdeckt geblieben waren.
In Coolify identifizierten unsere Agenten sieben CVEs, darunter Privilegieneskalation und vollständige Kompromittierung des Hosts über RCE als Root, in über 52.000 exponierten Instanzen. In Astro fanden sie CVE-2026-25545, einen SSRF im Node.js-Adapter, der interne Netzwerkressourcen offenlegte. In SvelteKit auf Vercel haben sie SvelteSpill aufgespürt, einen Cache-Deception-Fehler in 150.000 Codezeilen, der jede Standardbereitstellung betrifft. Vercel hat nach der Offenlegung eine plattformweite Korrektur bereitgestellt.
Bei einem direkten Vergleich einer Anwendung zur Unterzeichnung von Dokumenten entdeckten die Agenten einen kritischen Fehler in der Workflow-Integrität, der die Fälschung von elektronischen Signaturen ermöglichte, sowie 12 XSS-Instanzen. Die manuellen Pentester, ein erfahrenes Team, fanden in zwei Wochen einen XSS- und einen SSRF-Fehler. Sieben ihrer neun Ergebnisse waren Härtungsprüfungen, die Fälschung der Signatur übersahen sie vollständig. (Vollständiges Whitepaper hier).
In allen Fällen handelt es sich um tiefgreifende, mehrstufige Probleme in ausgereiften Codebasen. Die Experten, die diese übersehen haben, sind keine Neulinge. Es handelt sich um erfahrene Fachleute, die unter denselben Einschränkungen arbeiten , mit denen jedes Sicherheitsteam konfrontiert ist: begrenzte Arbeitszeiten, konkurrierende Prioritäten, hoher Druck und mehr Code, als jedes Team gründlich überprüfen kann.
Bei KI entfällt diese Einschränkung. Agenten erhalten sofort Zugriff auf den Quellcode und skalieren entsprechend der Fülle der von ihnen aufgenommenen Kontextinformationen. Mehr Code, mehr Architekturkontext, bessere Ergebnisse, keine höheren Kosten. Die erfahrenen Tester konzentrierten sich auf compliance Konfiguration, weil sie dafür ihre Zeit aufwenden mussten. Die Agenten gingen tiefer, weil sie dazu in der Lage waren.
Selbst die größten Unternehmen verfügen nicht über genügend Experten, um jede Codeänderung, die in ihre Anwendungen übernommen wird, umfassend zu testen. Jetzt können wir jedem Team Zugriff auf umfassende Analysen für jede Änderung ermöglichen, die jederzeit verfügbar sind. Stellen Sie sich das wie ein Team von Elite-Hackern vor, das sich zu 100 % Ihrer Anwendung widmet und rund um die Uhr für Sie da ist.
%20copy-2%20(1)%20copy-2.gif)
Was Infinite für Ihre Teams bedeutet
Angreifer verfügen über Spielzeuge mit Superkräften. Damit erhalten Verteidiger ihre eigenen.
Für Sicherheitsexperten: Infinite vervielfacht die Testkapazitäten Ihres Teams. Agenten übernehmen die umfassende Validierung jeder einzelnen Version und erweitern automatisch die Abdeckung, sodass sich Ihre Experten auf die wichtigsten Aufgaben und Entscheidungen konzentrieren können. Umfangreiche, schnelle und gründliche Tests für jede Änderung, die sonst die Bandbreite des Teams beanspruchen oder einfach nicht durchgeführt werden würden. Sicherheitsexperten erhalten mehr Kapazitäten für Kreativität, geschäftliche Zusammenhänge und die schwierigsten Probleme. Mit Infinite können Sicherheitsteams standardmäßig vom ressourcenbeschränkten „kritischen Überprüfungsmodus” zum „Alles-Überprüfungsmodus” wechseln.
Für Entwickler: Ihr Team liefert zehnmal mehr Code aus als noch vor einem Jahr. Mit Infinite können Sie sich auf den Diff verlassen. Keine Sicherheitsmeldungen mehr mitten im Zyklus mit unklaren Reproduktionsschritten. Infinite findet Probleme, generiert Korrekturen und öffnet den PR. Sie überprüfen ihn, führen ihn zusammen und können sich wieder der Entwicklung widmen.
Was kommt als Nächstes?
Infinite ist unser Flaggschiffprodukt und die Verwirklichung einer Vision, auf die wir hingearbeitet haben: selbstsichernde Software. ✨
Heute schließt Infinite die Lücke zwischen Versand und Sicherheit. Jeder Durchlauf bereichert die Sicherheits-Wissensdatenbank Aikido für Ihre Anwendung mit realen Erkenntnissen, validierten Angriffswegen und bestätigten Korrekturen. Wohin diese Wissensdatenbank als Nächstes führt und wie sie sich auf die Art und Weise auswirkt, wie Code geschrieben (oder generiert) wird, können Sie sich wahrscheinlich vorstellen, warum wir den Namen Infinite gewählt haben. Wie James Berthoty, Gründer von Latio Tech, andeutet:
In einem überfüllten Markt ist Aikido ein wirklich einzigartiger Ansatz zur Sicherung von KI-generiertem Code, der kontinuierliche KI-Penetrationstests nutzt, KI-Penetrationstests jeden Test besser als den vorherigen zu machen und die Codegenerierung standardmäßig sicherer zu gestalten.
Das nächste Mal, wenn Sie von mir hören, wird es mit einer klischeehaften, aber gut gestalteten Grafik zum Thema „Sicherheit durch den Software-Lebenszyklus als Unendlichkeitszeichen“ sein. Wir haben noch viel vor. Und wir werden weiter daran arbeiten, bis die Sicherheit mit der Geschwindigkeit funktioniert, die Software erfordert und Entwickler verdienen.
Möchten Sie Infinite noch heute ausprobieren? Sie können kostenlos starten, eine Demo buchen oder nächsten Monat auf RSA in San Francisco in die Unendlichkeit eintauchen.
xo Madeline, Aikido
Und ja, das Launch-Video ist eine Parodie auf Matrix:
