Kurz gesagt: Aikido Audit schließt die Lücke zwischen SAST Penetrationstests, indem es Ihre statischen Codebasen analysiert, um mehrstufige, absichtsabhängige Schwachstellen aufzudecken, bevor diese in die Produktion gelangen.
Letzte Woche veröffentlichte Anthropic „Claude Fable 5“, eine öffentliche Version seines Modells der „Mythos“-Klasse, das in der Lage war, Zero-Day-Exploits zu entdecken und zu verketten. Fable 5 verfügt über Sicherheitsvorkehrungen, die Cybersicherheitsanfragen blockieren und auf ein eingeschränkteres Modell zurückgreifen, sodass die öffentliche Version diese Angriffe nicht für Sie ausführt.
Zumindest war das die Idee.
Es scheint jedoch, dass eine oder mehrere Organisationen Fable 5 erfolgreich geknackt haben, was Anthropic dazu veranlasste, das Modell auf Druck der US-Regierung zurückzuziehen. Die Sache ist nur: Man kann den Geist nicht wieder in die Flasche zurückstecken. Ob durch Jailbreaks oder Open Source – Angreifer werden Zugang zu immer leistungsfähigeren Modellen erhalten.
Die Richtung steht fest. Der Aufwand an Fachwissen und Zeit, der bisher erforderlich war, um Schwachstellen in einer Anwendung aufzuspüren und miteinander zu verknüpfen, wird zunehmend durch etwas ersetzt, das ein Agent ohne stunden- oder tagelangen menschlichen Aufwand erledigt. Dies gilt insbesondere für logikbasierte Schwachstellen, die von bestehenden statische Codeanalyse nicht erfasst werden. Diese Arten von Schwachstellen folgen keinen vorhersehbaren Mustern, sodass die statische Analyse keine Vergleichsgrundlage hat.
Doch auch die Verteidiger können mit denselben agentischen Modellen die Oberhand behalten, indem sie Sicherheitslücken in ihren Codebasen analysieren und aufdecken, bevor diese in die Produktion gelangen. Und genau aus diesem Grund haben wir Aikido Audit entwickelt.
Was Code Audit eigentlich macht
Code Audit ist kein Ersatz für Ihre SAST , die sich hervorragend dazu eignet, regelbasierte Sicherheitslücken während der Entwicklung aufzudecken. Es ist auch kein Ersatz für Penetrationstests. Es nimmt eine Position zwischen beiden ein und analysiert Ihren statischen Code mit einer Logik, die dem Niveau von Penetrationstests entspricht.
Nutzen Sie „Code Audit“ vor einer wichtigen Veröffentlichung oder nachdem eine wesentliche Funktion implementiert wurde. Das Tool verfolgt Verweise über Dateien und Module hinweg. Es deckt mehrstufige Probleme auf, bei denen keine einzelne Zeile die Schwachstelle darstellt. Zu jedem Befund werden die Grundursache, code-basierte Belege sowie ein „AutoFix“ bereitgestellt, mit dem Sie sofort einen Pull-Request erstellen können, um das Problem zu beheben.
In der Praxis sieht das so aus:
Eine mehrstufige IDOR-Kette, die sich über drei Dateien erstreckt und die ein musterbasierter Scanner niemals erkennen würde, da keine einzelne Zeile eine Regel auslöst. Code Audit verfolgt die Referenz, ermittelt im Kontext die fehlende Berechtigungsprüfung und deckt den gesamten Exploit-Pfad auf.
Das gleiche Prinzip gilt auch für andere logikbasierte Schwachstellen, wie beispielsweise ein ReDoS-Muster, das anhand des Quellcodes identifiziert wurde, ohne dass es jemals in der Praxis ausgenutzt wurde, oder einen nur für Administratoren zugänglichen Pfad, der noch nie im Rahmen eines Live-Penetrationstests getestet wurde, da niemand über gültige Anmeldedaten verfügte. Ihnen fallen sicher noch weitere Beispiele ein.
.jpg)
Da Code Audit auf der Grundlage Ihres Quellcodes arbeitet, benötigen Sie weder eine aktive Staging-Umgebung noch müssen Sie Anmeldedaten erstellen. Verbinden Sie einfach Ihre Codebasis und starten Sie eine Prüfung. Wenn der Code im Quellcode vorhanden ist, wird er berücksichtigt: mehrere Repos, Pfade mit Feature-Flags, noch nicht bereitgestellte Änderungen und Admin-Routen, auf die Live-Tests nicht sicher zugreifen können.
Das beschränkt sich nicht nur auf Ihre Web-App
Da Code Audit den Code anhand des statischen Quellcodes analysiert, anstatt eine Live-Umgebung zu überprüfen, unterliegt es weder Einschränkungen hinsichtlich der Abdeckung SAST noch davon, auf welcher Plattform Ihr Code ausgeführt wird.
Das bedeutet, dass Sie Folgendes testen können:
- Mobile Apps, bei denen es keine URL für den Zugriff gibt und keine einfache Möglichkeit, Codepfade anhand einer Live-Version zu testen.
- Smart Contracts, bei denen man bewusst keine Exploit-Versuche gegen einen bereitgestellten Vertrag durchführen möchte, in dem echter Wert gebunden ist.
- Alte Codebasen in Sprachen mit geringer SAST .
Benchmarking
Basierend auf unseren internen Tests und den Erfahrungen der ersten Nutzer deckt Code Audit etwa 70–80 % dessen ab, was bei einem vollständigen Penetrationstest zutage tritt – und das zu etwa einem Zehntel der Kosten. Die ersten Nutzer haben im Median etwa 25 Sicherheitsprobleme pro Codebase festgestellt, wobei kein einziges Audit ohne Beanstandungen ausfiel.
Die Anzahl der gefundenen Probleme ist jedoch zweitrangig gegenüber dem Zeitpunkt der Entdeckung. Wird eine Schwachstelle vor der Veröffentlichung entdeckt, ist lediglich eine Codeänderung erforderlich, solange der Entwickler noch über den vollständigen Kontext verfügt. Wird sie erst nach der Auslieferung in die Produktion entdeckt, ist wahrscheinlich ein Behebungszyklus erforderlich, und ein Entwickler muss aus einem anderen Projekt abgezogen werden, um das Problem zu beheben. Code Audit verlagert die Erkennung auf den Zeitpunkt vor der Auslieferung des Codes, wenn der Entwickler, der daran gearbeitet hat, noch über den vollständigen Kontext verfügt und die Behebung unkompliziert ist.
Erste Schritte
Wählen Sie in Ihrem Aikido im Menü den Punkt „Code Audit“ aus und klicken Sie auf „Create Audit“. Wählen Sie dort ein oder mehrere Repositorys aus, woraufhin Aikido die Kosten in Credits Aikido . Laden Sie Credits auf Ihr Konto und starten Sie das Audit. Die Einrichtung dauert nur wenige Minuten, und die Audits sind je nach Größe und Komplexität Ihrer Codebasis bereits in 5 Minuten abgeschlossen.
Führen Sie Ihr erstes Code Audit durch.
