Aikido
Kostenlos starten
Ohne Kreditkarte

Willkommen in unserem Blog.

Vorgestellt
Die besten 6 Code-Analyse-Tools für 2026
Die besten 6 Code-Analyse-Tools für 2026
Vergleichen Sie die besten Code-Analyse-Tools des Jahres 2026, um Bugs zu erkennen, die Code-Qualität zu verbessern und die Sicherheit zu erhöhen. Finden Sie noch heute das beste Tool für die Bedürfnisse Ihres Teams.
DevSec-Tools & Vergleiche
Das Aikido-Team
Die 18 besten Code-Review-Tools des Jahres 2026
Die 18 besten Code-Review-Tools des Jahres 2026
Entdecken Sie die Top achtzehn Code-Review-Tools des Jahres 2026, die Produktivität und Code-Qualität verbessern, einschließlich automatisierter, KI-gestützter und Open-Source-Optionen für Entwickelnde.
DevSec-Tools & Vergleiche
Das Aikido-Team
Die Top 6 Graphite-Alternativen für KI-Code-Reviews im Jahr 2026
Die Top 6 Graphite-Alternativen für KI-gestützte Code-Reviews
Vergleichen Sie die besten Graphite-Alternativen für AI-gesteuerte Code-Reviews. Prüfen Sie kostenlose Optionen wie Aikido Security und Enterprise-Tools wie SonarQube, um die Codequalität zu verbessern.
DevSec-Tools & Vergleiche
Divine Odazie
CodeRabbit 8 besten CodeRabbit für die KI-Codeüberprüfung im Jahr 2026
CodeRabbit 8 besten CodeRabbit für die KI-Codeüberprüfung im Jahr 2026
Entdecken Sie die 8 besten CodeRabbit für die KI-gestützte Codeüberprüfung im Jahr 2026, die anpassbare Tools, Echtzeit-Feedback und erweiterte Team-Integrationen bieten.
DevSec-Tools & Vergleiche
Das Aikido-Team
Die 7 besten statische Codeanalyse für statische Codeanalyse im Jahr 2026
Die 7 besten statische Codeanalyse für statische Codeanalyse im Jahr 2026
Finden Sie die besten statische Codeanalyse für statische Codeanalyse für das Jahr 2026. Vergleichen Sie die besten Optionen zur Verbesserung der Codequalität und zur Automatisierung von Codeüberprüfungen in Projekten jeder Größe.
DevSec-Tools & Vergleiche
Das Aikido-Team
Wir stellen Safe Chain vor: Bösartige npm-Pakete stoppen, bevor sie Ihr Projekt zerstören
Wir stellen Safe Chain vor: Bösartige npm-Pakete stoppen, bevor sie Ihr Projekt zerstören
Safe-Chain von Aikido ist ein leistungsstarkes Tool, um die Installation bösartiger Paketversionen zu verhindern, indem jedes Paket mit der Aikido Intel-Datenbank verifiziert und Pakete mit bekannter Malware blockiert werden.
Produkt- & Unternehmens-Updates
Mackenzie Jackson
Veracode vs Checkmarx vs Fortify
Veracode Vs Checkmarx Vs Fortify Vergleich | Aikido Security
Vergleichen Sie Veracode Vs Checkmarx Vs Fortify anhand wichtiger Funktionen wie Benutzerfreundlichkeit, Integration, Scangeschwindigkeit und Abdeckung. Finden Sie heraus, welches Tool am besten zu Ihren Sicherheitsanforderungen passt.
DevSec-Tools & Vergleiche
Ruben Camerlynck
Snyk vs. Mend.
Snyk vs. Mend Vergleich | Aikido Security
Vergleichen Sie Snyk vs. Mend hinsichtlich wichtiger Funktionen wie Benutzerfreundlichkeit, Integration, Scangeschwindigkeit und Abdeckung. Finden Sie heraus, welches Tool am besten zu Ihren Sicherheitsanforderungen passt.
DevSec-Tools & Vergleiche
Ruben Camerlynck
SonarQube vs Semgrep Vergleich im Jahr 2026
Sonarqube vs Semgrep Vergleich | Aikido Security
Vergleichen Sie Sonarqube und Semgrep hinsichtlich wichtiger Funktionen wie Benutzerfreundlichkeit, Integration, Scangeschwindigkeit und Abdeckung. Finden Sie heraus, welches Tool am besten zu Ihren Sicherheitsanforderungen passt.
DevSec-Tools & Vergleiche
Ruben Camerlynck
Snyk Vs Semgrep
Snyk Vs Semgrep Vergleich | Aikido Security
Vergleichen Sie Snyk Vs Semgrep anhand wichtiger Funktionen wie Benutzerfreundlichkeit, Integration, Scangeschwindigkeit und Abdeckung. Finden Sie heraus, welches Tool am besten zu Ihren Sicherheitsanforderungen passt.
DevSec-Tools & Vergleiche
Ruben Camerlynck
SonarQube vs. Codacy
SonarQube vs. Codacy Vergleich | Aikido Security
Vergleichen Sie SonarQube vs. Codacy hinsichtlich wichtiger Funktionen wie Benutzerfreundlichkeit, Integration, Scanning-Geschwindigkeit und Abdeckung. Finden Sie heraus, welches Tool am besten zu Ihren Sicherheitsanforderungen passt.
DevSec-Tools & Vergleiche
Ruben Camerlynck
Snyk vs. Wiz Vergleich im Jahr 2026
Snyk vs. Wiz Vergleich 2026 | Aikido Security
Vergleichen Sie Snyk und Wiz hinsichtlich wichtiger Funktionen wie Benutzerfreundlichkeit, Integration, Scangeschwindigkeit und Abdeckung. Finden Sie heraus, welches Tool am besten zu Ihren Sicherheitsanforderungen passt.
DevSec-Tools & Vergleiche
Ruben Camerlynck
Checkmarx vs. Black Duck
Checkmarx Vs Black Duck Vergleich | Aikido Security
Vergleichen Sie Checkmarx und Black Duck hinsichtlich wichtiger Funktionen wie Benutzerfreundlichkeit, Integration, Scangeschwindigkeit und Abdeckung. Finden Sie heraus, welches Tool am besten zu Ihren Sicherheitsanforderungen passt.
DevSec-Tools & Vergleiche
Ruben Camerlynck
Snyk vs. Black Duck
Snyk vs. Black Duck Vergleich | Aikido Security
Vergleichen Sie Snyk und Black Duck hinsichtlich wichtiger Funktionen wie Benutzerfreundlichkeit, Integration, Scangeschwindigkeit und Abdeckung. Finden Sie heraus, welches Tool am besten zu Ihren Sicherheitsanforderungen passt.
DevSec-Tools & Vergleiche
Ruben Camerlynck
Sonarqube vs. GitHub Advanced Security Vergleich im Jahr 2026
SonarQube vs. GitHub Vergleich | Aikido Security
Vergleichen Sie Sonarqube und Github hinsichtlich wichtiger Funktionen wie Benutzerfreundlichkeit, Integration, Scangeschwindigkeit und Abdeckung. Finden Sie heraus, welches Tool am besten zu Ihren Sicherheitsanforderungen passt.
DevSec-Tools & Vergleiche
Ruben Camerlynck
Snyk vs. Veracode
Snyk Vs Veracode Vergleich | Aikido Security
Vergleichen Sie Snyk und Veracode hinsichtlich wichtiger Funktionen wie Benutzerfreundlichkeit, Integration, Scangeschwindigkeit und Abdeckung. Finden Sie heraus, welches Tool am besten zu Ihren Sicherheitsanforderungen passt.
DevSec-Tools & Vergleiche
Ruben Camerlynck
Snyk vs. Checkmarx: Ein Leitfaden für technische Führungskräfte zu Code-Sicherheitstools im Jahr 2026
Snyk Vs Checkmarx Vergleich | Aikido Security
Vergleichen Sie Snyk und Checkmarx hinsichtlich wichtiger Funktionen wie Benutzerfreundlichkeit, Integration, Scangeschwindigkeit und Abdeckung. Finden Sie heraus, welches Tool am besten zu Ihren Sicherheitsanforderungen passt.
DevSec-Tools & Vergleiche
Ruben Camerlynck
Snyk vs. GitHub Advanced Security
Snyk Vs Github Advanced Security Vergleich | Aikido Security
Vergleichen Sie Snyk und GitHub Advanced Security hinsichtlich wichtiger Funktionen wie Benutzerfreundlichkeit, Integration, Scangeschwindigkeit und Abdeckung. Finden Sie heraus, welches Tool am besten zu Ihren Sicherheitsanforderungen passt.
DevSec-Tools & Vergleiche
Ruben Camerlynck
Snyk vs. Trivy Vergleich im Jahr 2026
Snyk vs Trivy Vergleich 2026 | Aikido Security
Vergleichen Sie Snyk und Trivy hinsichtlich wichtiger Funktionen wie Benutzerfreundlichkeit, Integration, Scangeschwindigkeit und Abdeckung. Finden Sie heraus, welches Tool am besten zu Ihren Sicherheitsanforderungen passt.
DevSec-Tools & Vergleiche
Ruben Camerlynck
Sonarqube vs. Coverity
Sonarqube Vs Coverity Vergleich | Aikido Security
Vergleichen Sie Sonarqube und Coverity hinsichtlich wichtiger Funktionen wie Benutzerfreundlichkeit, Integration, Scangeschwindigkeit und Abdeckung. Finden Sie heraus, welches Tool am besten zu Ihren Sicherheitsanforderungen passt.
DevSec-Tools & Vergleiche
Ruben Camerlynck
SonarQube vs. Fortify: Der AppSec Showdown (und eine bessere Alternative)
Sonarqube Vs Fortify Vergleich | Aikido Security
Vergleichen Sie Sonarqube und Fortify hinsichtlich wichtiger Funktionen wie Benutzerfreundlichkeit, Integration, Scangeschwindigkeit und Abdeckung. Finden Sie heraus, welches Tool am besten zu Ihren Sicherheitsanforderungen passt.
DevSec-Tools & Vergleiche
Ruben Camerlynck
Sonarqube vs. Veracode
SonarQube vs Veracode Vergleich | Aikido Security
Vergleichen Sie Sonarqube und Veracode hinsichtlich wichtiger Funktionen wie Benutzerfreundlichkeit, Integration, Scangeschwindigkeit und Abdeckung. Finden Sie heraus, welches Tool am besten zu Ihren Sicherheitsanforderungen passt.
DevSec-Tools & Vergleiche
Ruben Camerlynck
Sonarqube vs. Sonarcloud
Sonarqube Vs Sonarcloud Vergleich | Aikido Security
Vergleichen Sie Sonarqube und Sonarcloud hinsichtlich wichtiger Funktionen wie Benutzerfreundlichkeit, Integration, Scangeschwindigkeit und Abdeckung. Finden Sie heraus, welches Tool am besten zu Ihren Sicherheitsanforderungen passt.
DevSec-Tools & Vergleiche
Ruben Camerlynck
Snyk vs SonarQube Vergleich im Jahr 2026
Snyk vs. SonarQube Vergleich | Aikido Security
Vergleichen Sie Snyk und SonarQube hinsichtlich wichtiger Funktionen wie Benutzerfreundlichkeit, Integration, Scangeschwindigkeit und Abdeckung. Finden Sie heraus, welches Tool am besten zu Ihren Sicherheitsanforderungen passt.
DevSec-Tools & Vergleiche
Ruben Camerlynck
Sonarqube Vs Checkmarx
Sonarqube Vs Checkmarx Vergleich | Aikido Security
Vergleichen Sie Sonarqube mit Checkmarx hinsichtlich wichtiger Funktionen wie Benutzerfreundlichkeit, Integration, Scangeschwindigkeit und Abdeckung. Finden Sie heraus, welches Tool am besten zu Ihren Sicherheitsanforderungen passt.
DevSec-Tools & Vergleiche
Ruben Camerlynck
Vielen Dank! Ihre Einreichung wurde empfangen!
Hoppla! Beim Absenden des Formulars ist etwas schiefgelaufen.
10. Juni 2026
„•“
Schwachstellen & Bedrohungen

Eine kompromittierte Rust-Crate führt eine Code-Exfiltration durch

Die kompromittierte Rust-Crate „onering“ v1.4.1 auf crates.io enthielt eine bösartige „build.rs“-Datei, die bei jedem Build den Diff Ihres letzten Commits an einen gehosteten Sentry-Endpunkt übermittelt.

#Malware

10. Juni 2026
„•“
Schwachstellen & Bedrohungen

Eine seit 10 Jahren bestehende kritische Sicherheitslücke in phpBB betrifft Millionen von Nutzern in Tausenden von Foren

#KI-Penetrationstests

9. Juni 2026
„•“
Schwachstellen & Bedrohungen

Moment mal, was kann „binding.gyp“ denn alles? Eine Erkundung des seltsamsten Build-Systems von npm

Ein tiefer Einblick in „binding.gyp“, die oft übersehene npm-Build-Datei, die bei der Installation über Shell-Erweiterungen, Sandbox-Escapes und Compiler-Hijacking bösartigen Code ausführen kann.

#Malware

2026

2026 Stand der KI in Sicherheit & Entwicklung

Unser neuer Bericht fängt die Stimmen von 450 Sicherheitsverantwortlichen (CISOs oder Äquivalente), Entwickelnden und AppSec-Ingenieuren aus ganz Europa und den USA ein. Gemeinsam enthüllen sie, wie KI-generierter Code bereits Probleme verursacht, wie Tool-Wildwuchs die Sicherheit verschlechtert und wie die Entwickelnden-Erfahrung direkt mit den Vorfallraten zusammenhängt. Hier kollidieren Geschwindigkeit und Sicherheit im Jahr 2025.

Mehr erfahren
Titelkarte mit der Aufschrift '2026 State of AI in Security & Development' auf einem dunkelblauen Gitterhintergrund.

Abonnieren Sie unseren Newsletter.
Kein Spam, garantiert.

Schwachstellen & Bedrohungen

Durchbrechen Sie das Rauschen mit realen CVE-Analysen, Malware-Analysen, Exploits und aufkommenden Risiken.

Alle anzeigen

Neuigkeiten

Unsere Perspektive auf die Geschichten, die die Softwaresicherheit aktuell prägen

Alle anzeigen

Kundenerlebnisse

Erfahren Sie, wie Teams wie Ihres Aikido nutzen, um die Sicherheit zu vereinfachen und mit Vertrauen zu deployen.

Alle anzeigen

Produkt- & Unternehmens-Updates

Was gibt es Neues bei Aikido – von Produkteinführungen bis zu großen Sicherheitserfolgen.

Alle anzeigen

Leitfäden & Best Practices

Praktische Tipps, Sicherheits-Workflows und Anleitungen, die Ihnen helfen, sichereren Code schneller bereitzustellen.

Alle anzeigen

Compliance

Sorgen Sie für Audit-Sicherheit mit klarer, entwicklerfreundlicher Anleitung zu SOC 2, ISO-Standards, GDPR, NIS und weiteren Vorschriften.

Alle anzeigen
AI
Aikido Device Protection
Aikido Endpoint
Aikido Zen
AI Penetration Testing
KI-Sicherheit
Ankündigungen
API
AppSec
Artikel
ASPM
AutoFix
AutoTriage
AWS
Bazel
CircleCI
Cloud
CNAPP
Code-Qualität
Codeship
Compliance
Container-Scanning
Kontinuierliches Pentesten
Kontinuierliches Sicherheits-Monitoring
CSPM
Cyber Resilience Act
DAST
Abhängigkeiten
DevSecOps
End of Life
Europäische Cybersicherheit
Fintech
IDE Security
IDOR-Schwachstellen
IMDSv1
IMDSv2
Infrastructure as Code (IaC)
Intel
Legaltech
Lizenz-Scanner
Malware
Mythos
Netzwerksicherheitsüberwachung
NIS2
NPM
Open Source
OWASP
Pentesting
Pypi
RASP
SAST
SBOM
SCA
Secrets
Selbstsichernde Software
SOC 2
Sicherheit der Software-Lieferkette
SQL-Injections
SSDLC
SSRF
Bedrohungsmodellierung
Tools
Triagieren
Anwendungsfall
Vibe Coding
VS Code
Schwachstellen
Full Fathom Five: Der Hintergrund der öffentlichen Vorstellung der Mythos-Klasse von Anthropic
Full Fathom Five: Was die öffentliche Vorstellung der Mythos-Klasse von Anthropic bedeutet
Man hat Mythos nie gebraucht, um IDORs und Fehler in der Geschäftslogik zu finden. Ein Blick darauf, was Anthropic mit Fable 5 auf den Markt gebracht hat, und warum die Informationssicherheit im Kern ein Problem des Menschen bleibt.
Man hat Mythos nie gebraucht, um IDORs und Fehler in der Geschäftslogik zu finden. Ein Blick darauf, was Anthropic mit Fable 5 auf den Markt gebracht hat, und warum die Informationssicherheit im Kern ein Problem des Menschen bleibt.
Neuigkeiten
npm v12 bietet eine der größten Sicherheitsverbesserungen seit Jahren
npm v12 bietet eine der größten Sicherheitsverbesserungen seit Jahren
Bei npm v12 sind Installationsskripte standardmäßig deaktiviert, wodurch der Ausführungsweg während der Installation nach einem Jahr voller Sicherheitslücken in der npm-Lieferkette – von Nx bis hin zu Red Hat – gesperrt wird.
Bei npm v12 sind Installationsskripte standardmäßig deaktiviert, wodurch der Ausführungsweg während der Installation nach einem Jahr voller Sicherheitslücken in der npm-Lieferkette – von Nx bis hin zu Red Hat – gesperrt wird.
Neuigkeiten
Aikido Docker: Weniger Rauschen, mehr Signal in Ihren Containern
Aikido mit VEX gehärtete Docker-Images
Aikido unterstützt Aikido „Docker Hardened Images“ mit integrierter VEX-Integration, wodurch Teams CVE-Lärm reduzieren und sich auf container konzentrieren können, die tatsächlich Aufmerksamkeit erfordern.
Produkt- & Unternehmens-Updates
Überall wird Code geschrieben, und das Gerät ist die einzige Konstante
Code ist überall zu finden, und das Gerät ist die einzige Konstante | Aikido
Entwickler programmieren überall. KI-Agenten, Slack-Bots und MCP-Server haben das Entwicklergerät zum größten Sicherheitsrisiko gemacht.
Entwickler programmieren überall. KI-Agenten, Slack-Bots und MCP-Server haben das Entwicklergerät zum größten Sicherheitsrisiko gemacht.
Neuigkeiten
SBOMs im Jahr 2026: Alle erstellen sie, aber niemand nutzt sie
SBOMs im Jahr 2026: Alle erstellen sie, aber niemand nutzt sie | Aikido
Der ENISA-Bericht SBOM aus dem Jahr 2026 umfasst 334 Organisationen und deckt eine durchgängige Diskrepanz zwischen der Erstellung von SBOMs und deren tatsächlicher Nutzung auf. Hier sind die wichtigsten Erkenntnisse.
Der ENISA-Bericht SBOM aus dem Jahr 2026 umfasst 334 Organisationen und deckt eine durchgängige Diskrepanz zwischen der Erstellung von SBOMs und deren tatsächlicher Nutzung auf. Hier sind die wichtigsten Erkenntnisse.
Neuigkeiten
Eine kompromittierte Rust-Crate führt eine Code-Exfiltration durch
Eine kompromittierte Rust-Crate führt eine Code-Exfiltration durch
Die kompromittierte Rust-Crate „onering“ v1.4.1 auf crates.io enthielt eine bösartige „build.rs“-Datei, die bei jedem Build den Diff Ihres letzten Commits an einen gehosteten Sentry-Endpunkt übermittelt.
Die kompromittierte Rust-Crate „onering“ v1.4.1 auf crates.io enthielt eine bösartige „build.rs“-Datei, die bei jedem Build den Diff Ihres letzten Commits an einen gehosteten Sentry-Endpunkt übermittelt.
Schwachstellen & Bedrohungen
Eine seit 10 Jahren bestehende kritische Sicherheitslücke in phpBB betrifft Millionen von Nutzern in Tausenden von Foren
Kritische phpBB-Sicherheitslücke: Umgehung der Authentifizierung + RCE seit 2014
Aikido hat eine kritische Sicherheitslücke in phpBB entdeckt, durch die die Authentifizierung ohne vorherige Anmeldung umgangen werden kann und von der Millionen von Nutzern betroffen sind. Eine einzige HTTP-Anfrage reicht aus, um die Kontrolle über ein beliebiges Konto zu erlangen – eine Schwachstelle, die seit 2014 im Quellcode vorhanden ist.
Schwachstellen & Bedrohungen
Moment mal, was kann „binding.gyp“ denn alles? Eine Erkundung des seltsamsten Build-Systems von npm
Moment mal, was kann „binding.gyp“ denn alles? Eine Erkundung des seltsamsten Build-Systems von npm
Ein tiefer Einblick in „binding.gyp“, die oft übersehene npm-Build-Datei, die bei der Installation über Shell-Erweiterungen, Sandbox-Escapes und Compiler-Hijacking bösartigen Code ausführen kann.
Ein tiefer Einblick in „binding.gyp“, die oft übersehene npm-Build-Datei, die bei der Installation über Shell-Erweiterungen, Sandbox-Escapes und Compiler-Hijacking bösartigen Code ausführen kann.
Schwachstellen & Bedrohungen
Was ist AI SAST?
Was ist AI SAST?
SAST zu einer neuen SAST , doch ist deren Bedeutung noch unklar. Wir erläutern den Unterschied zwischen AI-nativem SAST AI-gestütztem SAST sowie SAST im Technologie-Stack zwischen traditionellem SAST KI-Penetrationstests.
SAST zu einer neuen SAST , doch ist deren Bedeutung noch unklar. Wir erläutern den Unterschied zwischen AI-nativem SAST AI-gestütztem SAST sowie SAST im Technologie-Stack zwischen traditionellem SAST KI-Penetrationstests.
DevSec-Tools & Vergleiche
Nessus 5 bestenNessus Tenable Nessus im Jahr 2026
Nessus 5 bestenNessus Tenable im Jahr 2026 | Aikido
Tenable Nessus ein leistungsstarker Scanner, doch leistungsstarke Tools, die niemand nutzt, machen Software nicht sicherer. Vergleichen Sie fünf Alternativen, die speziell auf die tatsächlichen Arbeitsabläufe von Entwicklerteams zugeschnitten sind.
Tenable Nessus ein leistungsstarker Infrastruktur-Scanner, doch leistungsstarke Tools, die nicht in die Arbeitsabläufe der Entwickler eingebunden sind, werden von niemandem genutzt. In diesem Leitfaden werden fünf Alternativen hinsichtlich ihrer Eignung für Entwickler-Workflows, AppSec , der Kosten und der Erfahrung bei der Behebung von Schwachstellen verglichen.
DevSec-Tools & Vergleiche
Warum EDR und Proxy Sie nicht vor Malware in der Lieferkette schützen
Warum EDR und Proxy Sie nicht vor Malware in der Lieferkette schützen
EDR-Lösungen und Proxys wurden nicht für Malware in der Lieferkette entwickelt. Wenn schädlicher Code über „npm install“ eingeschleust wird, sieht das wie normales Verhalten aus. Hier erfahren Sie, warum das von Bedeutung ist.
EDR-Lösungen und Proxys wurden nicht für Malware in der Lieferkette entwickelt. Wenn schädlicher Code über „npm install“ eingeschleust wird, sieht das wie normales Verhalten aus. Hier erfahren Sie, warum das von Bedeutung ist.
Neuigkeiten
Mach Platz, Mythos. Hier kommt … so ziemlich jedes andere Modell mit einem guten Gurtzeug
Mach Platz, Mythos. Hier kommt jedes Modell mit einem guten Gurtzeug.
Mythos hat echte Vorteile bei der Erstellung von Exploit-Ketten. Bei AppSec meisten AppSec ist jedoch das Umfeld des Modells wichtiger als die Wahl des Modells selbst.
Mythos hat echte Vorteile bei der Erstellung von Exploit-Ketten. Bei AppSec meisten AppSec ist jedoch das Umfeld des Modells wichtiger als die Wahl des Modells selbst.
Neuigkeiten
Red Hat-npm-Pakete wurden kompromittiert, um einen Wurm zur Erlangung von Zugangsdaten zu verbreiten
Red Hat-npm-Pakete wurden kompromittiert, um einen Wurm zur Erlangung von Zugangsdaten zu verbreiten
Mehrere offizielle @redhat-cloud-services-npm-Pakete wurden durch einen Wurm kompromittiert, der auf der Open-Source-Malware „Mini Shai-Hulud“ basiert und darauf abzielt, Anmeldedaten für Cloud-Dienste sowie Entwicklertools in CI/CD-Pipelines zu stehlen.
Mehrere offizielle @redhat-cloud-services-npm-Pakete wurden durch einen Wurm kompromittiert, der auf der Open-Source-Malware „Mini Shai-Hulud“ basiert und darauf abzielt, Anmeldedaten für Cloud-Dienste sowie Entwicklertools in CI/CD-Pipelines zu stehlen.
Schwachstellen & Bedrohungen
Was MDM auf Entwickelnden-Maschinen nicht schützen kann (und was dagegen zu tun ist)
Was MDM auf Entwickelnden-Maschinen nicht schützen kann
MDM-Tools wie Jamf und Kandji sind unerlässlich, aber sie sehen keine npm-Installationen, IDE-Erweiterungen oder KI-Coding-Tools. Hier ist, was auf Ihren Entwickelnden-Maschinen tatsächlich ungeschützt ist und wie Sie diese Lücke schließen können.
Die meisten Sicherheitsteams haben MDM implementiert. Das Problem ist, dass npm-Installationen, VS Code-Erweiterungen und KI-Coding-Tools vollständig außerhalb der Sichtweise von MDM stattfinden. Hier ist, was tatsächlich ungeschützt ist und wie Sie diese Lücke schließen können.
Leitfäden & Best Practices
Die besten GitGuardian-Alternativen für Secrets-Scanning im Jahr 2026
Die besten GitGuardian-Alternativen für Secrets-Scanning im Jahr 2026
Vergleichen Sie die besten GitGuardian-Alternativen für Secrets-Scanning im Jahr 2026. Erfahren Sie, wo Aikido Security, GitHub Secret Protection, TruffleHog, Gitleaks, Semgrep, Snyk, Cycode, Checkmarx und GitLab am besten passen.
Vergleichen Sie die besten GitGuardian-Alternativen für den Secrets-Scan im Jahr 2026, darunter Aikido Security, Betterleaks, GitHub Secret Protection, TruffleHog, Semgrep, Snyk, Checkmarx One und GitLab Secret Detection.
DevSec-Tools & Vergleiche
Legitim aussehendes Codex Remote UI stiehlt heimlich Ihre AI-Tokens
Legitim aussehendes Codex Remote UI stiehlt heimlich Ihre AI-Tokens
Ein ausgefeiltes Codex Remote UI, das npm-Paket codexui-android, wird aktiv entwickelt und hat Tausende wöchentlicher Nutzer. Es hat im letzten Monat still und heimlich OpenAI-Auth-Tokens exfiltriert.
Ein ausgefeiltes Codex Remote UI, das npm-Paket codexui-android, wird aktiv entwickelt und hat Tausende wöchentlicher Nutzer. Es hat im letzten Monat still und heimlich OpenAI-Auth-Tokens exfiltriert.
Schwachstellen & Bedrohungen
Aikido vs. Xbow: 58 % mehr Schwachstellen in unabhängigem Benchmark gefunden
Aikido vs. Xbow: 58 % mehr Schwachstellen in unabhängigem Benchmark gefunden
Aikido vs. Xbow in einem unabhängigen Benchmark von Doyensec verglichen. Aikido fand 58 % mehr Schwachstellen zum gleichen Preis. Siehe Einrichtungszeit, False-Positive-Raten & vollständige Ergebnisse
Wir beauftragten Doyensec mit einem blinden, unabhängigen Benchmark-Test von Aikido und XBOW für dieselben Anwendungen, zum selben Preis. Aikido fand 58 % mehr verifizierte Schwachstellen und überzeugte bei Einrichtung, Geschwindigkeit und Stabilität.
Neuigkeiten
Warum Entwickelnde-Maschinen jetzt das Hauptziel für Lieferkettenangriffe sind
Warum Entwickelnde-Maschinen das Hauptziel für Lieferkettenangriffe sind | Aikido
Teams bei Omnea, Cognism, Glasswall, Raisin und im öffentlichen Sektor des Vereinigten Königreichs zeigen auf, warum EDR und MDM übersehen, was wirklich auf Entwickelnde-Maschinen geschieht.
Engineering- und Sicherheitsteams bei Omnea, Cognism, Glasswall und im öffentlichen Sektor des Vereinigten Königreichs haben alle unabhängig voneinander denselben blinden Fleck identifiziert. Das tun sie dagegen.
Neuigkeiten
Supply-Chain-Angriff zielt auf Laravel-Lang-Pakete mit Credential Stealer ab
Supply-Chain-Angriff zielt auf Laravel-Lang-Pakete mit Credential Stealer ab
Angreifer injizierten einen Credential Stealer in über 200 Versionen beliebter Laravel-Lang-Pakete, der auf Cloud-Keys, SSH-Keys, Browser, Krypto-Wallets und mehr abzielt.
Angreifer injizierten einen Credential Stealer in über 200 Versionen beliebter Laravel-Lang-Pakete, der auf Cloud-Keys, SSH-Keys, Browser, Krypto-Wallets und mehr abzielt.
Schwachstellen & Bedrohungen
5 Gitleaks-Alternativen und warum sie besser sind
5 Gitleaks-Alternativen für besseren Secrets-Scan im Jahr 2026
Suchen Sie eine Gitleaks-Alternative? Wir vergleichen Betterleaks, TruffleHog, Aikido, GitHub Advanced Security und Spectral, damit Sie den besten Secrets-Scanner für Ihr Team finden können.
Gitleaks wird nicht mehr aktiv weiterentwickelt, und die Landschaft des Secrets-Scans hat sich schnell verändert. Wir vergleichen die fünf stärksten Alternativen im Jahr 2026, darunter Betterleaks, TruffleHog, Aikido, GitHub Advanced Security und Spectral, damit Sie die passende Lösung für Ihren Stack finden.
DevSec-Tools & Vergleiche
Der Wilde Westen der VS Code-Erweiterungen und wie eine manipulierte Erweiterung GitHub kompromittierte
Der Wilde Westen der VS Code-Erweiterungen und wie eine manipulierte Erweiterung GitHub kompromittierte
Eine manipulierte VS Code-Erweiterung kompromittierte gestern GitHub, einen Tag nachdem Nx Console (2,2 Mio. Installationen) für 18 Minuten auf dem Visual Studio Marketplace kompromittiert wurde und jeden Nutzer mit aktivierter Auto-Update-Funktion erreichte.
Schwachstellen & Bedrohungen
GitHub über eine bösartige VS Code-Erweiterung kompromittiert: Warum Entwickelnden-Geräte das eigentliche Ziel sind
GitHub über VS Code-Erweiterung kompromittiert | Lieferkettenangriff auf Entwickelnde 2026
GitHub bestätigte, dass eine manipulierte VS Code-Erweiterung ein Mitarbeitergerät kompromittierte und dabei 3.800 interne Repositories offengelegt wurden. Warum Entwickelnden-Workstations jetzt das Hauptziel von Lieferkettenangriffen sind.
Schwachstellen & Bedrohungen
Microsofts durabletask-Paket auf PyPi kompromittiert. Mini Shai Hulud schlägt wieder zu... wieder!
Microsofts durabletask-Paket auf PyPi kompromittiert. Mini Shai Hulud schlägt wieder zu... wieder!
Drei sukzessiv kompromittierte Versionen eines Microsoft-nahen Python-Pakets liefern einen voll ausgestatteten Infostealer, der sich über AWS und Kubernetes verbreitet, alle gefundenen Cloud-Anmeldeinformationen exfiltriert und Festplatten auf israelischen und iranischen Systemen löscht.
Schwachstellen & Bedrohungen
Mini Shai-Hulud schlägt erneut zu: npm-Wurm kompromittiert Hunderte von @antv-Paketen
Mini Shai-Hulud schlägt wieder zu: npm-Wurm kompromittiert Hunderte von @antv-Paketen
Der Mini Shai-Hulud npm-Wurm hat die @antv-Pakete von Alibaba, echarts-for-react und timeago.js befallen. Die Payload stiehlt CI/CD-Secrets, pflanzt Backdoors in VS Code und Claude Code und verbreitet sich durch die Neuveröffentlichung kompromittierter Pakete. Hier erfahren Sie, was passiert ist und wie Sie Ihr Team schützen können.
Der Mini Shai-Hulud npm-Wurm ist mit seiner bisher größten Welle zurück und kompromittiert Hunderte von Paketen im gesamten Datenvisualisierungs-Ökosystem von Alibaba. Unser Malware-Team verfolgt über 2.700 bösartige GitHub-Repos, die mit gestohlenen Tokens erstellt wurden, während sich der Wurm weiter ausbreitet.
Schwachstellen & Bedrohungen
Penetrationstests vs. Red Teaming: Was ist der Unterschied?
Penetration Testing vs. Red Teaming: Was ist der Unterschied?
Sie sind sich unsicher, ob Sie einen Pentest oder ein Red Teaming benötigen? Dieser Leitfaden erläutert die wesentlichen Unterschiede, wann man welches einsetzt und wie KI beides verändert.
Penetrationstests und Red Teaming sind beides Methoden, um Ihre Sicherheit einem Stresstest zu unterziehen, aber sie sind nicht dasselbe. Dieser Beitrag erklärt, wie jede Methode funktioniert, wann man die eine der anderen vorziehen sollte und wo KI-Penetrationstests die Gleichung verändern.
Leitfäden & Best Practices
Google API-Schlüssel funktionieren weiterhin, nachdem Sie sie gelöscht haben
Google API-Schlüssel funktionieren weiterhin, nachdem Sie sie gelöscht haben, lange genug, um ausgenutzt zu werden
Das Löschen eines Google API-Schlüssels widerruft ihn nicht sofort. Unsere Tests ergaben erfolgreiche Authentifizierungen bis zu 23 Minuten nach dem Löschen, und Google hat sich geweigert, dies zu beheben.
Das Löschen eines Google API-Schlüssels widerruft ihn nicht sofort. Unsere Tests ergaben erfolgreiche Authentifizierungen bis zu 23 Minuten nach dem Löschen, und Google lehnte eine Behebung ab.
Schwachstellen & Bedrohungen
Shadow AI ist eine Angstreaktion, und ein Verbot verschlimmert die Situation
Warum Risiken durch Shadow AI mit Angst beginnen (und ein Verbot sie verschlimmert)
Mitarbeitende nutzen nicht genehmigte KI-Tools nicht, um Probleme zu verursachen. Sie haben Angst, den Anschluss zu verlieren. Deshalb erhöht ein Verbot von Shadow AI Ihr Sicherheitsrisiko, und das können Sie stattdessen tun.
Shadow AI ist eine Angstreaktion. Mitarbeiter verbergen die Tools, die sie verwenden, weil sie einen Arbeitsmarkt, der KI-Fähigkeiten fordert, korrekt einschätzen. Hier erfahren Sie, warum Verbote die Situation verschlimmern und was stattdessen zu tun ist.
Neuigkeiten
Mini Shai-Hulud ist zurück: npm-Wurm befällt über 160 Pakete, darunter Mistral und Tanstack
Mini Shai-Hulud ist zurück: npm-Wurm befällt über 160 Pakete, darunter Mistral und Tanstack
Mini Shai-Hulud ist zurück und kompromittiert 169 npm-Pakete von TanStack, UiPath, Squawk und weiteren, um Secrets von Entwickelnden und aus CI/CD-Systemen zu stehlen und sich dann über vertrauenswürdige Publishing-Workflows zu verbreiten.
Schwachstellen & Bedrohungen
Die vollständige GitHub Actions Sicherheits-Checkliste
Sicherheits-Checkliste für GitHub Actions
Fehlkonfigurationen in GitHub Actions waren die Ursache für einige der größten Lieferkettenangriffe der Jahre 2025 und 2026. Hier erfahren Sie, was schiefgelaufen ist und wie Sie verhindern können, dass dies Ihrer Organisation widerfährt.
Fehlkonfigurationen von GitHub Actions waren für einige der größten Lieferkettenangriffe der Jahre 2025 und 2026 verantwortlich. Hier ist eine praktische Checkliste, wie Sie sich davor schützen können.
Leitfäden & Best Practices
Die besten OWASP-Scanner im Jahr 2026 für die Sicherheit von Webanwendungen
Die besten OWASP-Scanner im Jahr 2026 für die Sicherheit von Web-Apps
Die meisten Scanner decken nicht die gesamten OWASP Top 10 ab. Wir stellen die besten OWASP-Scanner im Jahr 2026 vor, damit Sie einen auswählen können, der Sie tatsächlich schützt.
Die meisten OWASP-Scanner decken nicht die gesamten Top 10 ab. Dieser Leitfaden stellt die besten Tools im Jahr 2026 vor, was jedes einzelne tatsächlich abdeckt und welcher Scanner eine vollständige Abdeckung ohne unnötige Meldungen bietet.
DevSec-Tools & Vergleiche
Einführung von Sicherheit für Entwickelnde in einer Organisation mit über 5.000 Ingenieuren
Sicherheit für Entwickelnde im großen Maßstab: Ein Leitfaden für die Einführung eines CISO
Die meisten Einführungen von Sicherheit für Entwickelnde scheitern, weil sie wie Software-Deployments und nicht wie kulturelle Veränderungen konzipiert sind. Ein Leitfaden für Praktiker für Enterprise-CISOs.
Die meisten Security-Rollouts für Entwickelnde scheitern, weil sie wie Software-Deployments und nicht wie kulturelle Veränderungen konzipiert sind. Hier ist das phasenweise Modell, auf das erfahrene CISOs setzen, um dies zu beheben.
Leitfäden & Best Practices
Sicherheitsmetamorphose: Eine Mythos-ready Architektur-Checkliste für autonome KI-Angriffe
Sicherheitsmetamorphose: Eine Mythos-ready Architektur-Checkliste für autonome KI-Angriffe
AppSec ist unter der modernen Komplexität stagniert. Project Glasswing und die Mythos-Ära erfordern eine Sicherheitsdisziplin, die mit der Geschwindigkeit der Bedrohungen agiert, denen sie gegenübersteht.
AppSec ist unter der modernen Komplexität stagniert. Project Glasswing und die Mythos-Ära erfordern eine Sicherheitsdisziplin, die mit der Geschwindigkeit der Bedrohungen agiert, denen sie gegenübersteht.
Leitfäden & Best Practices
Warum Browser-Erweiterungen ein erhebliches Sicherheitsrisiko darstellen und was man dagegen tun kann
Warum Browser-Erweiterungen ein erhebliches Sicherheitsrisiko darstellen und was man dagegen tun kann
Browser-Erweiterungen bergen viele Sicherheitsrisiken, mehr, als uns lieb ist. Wir erörtern das volle Ausmaß der Bedrohung und was sowohl Einzelpersonen als auch Organisationen dagegen tun können.
Leitfäden & Best Practices
Die besten CVE-Scanner im Jahr 2026 zur Identifizierung bekannter Schwachstellen
Die besten CVE-Scanner im Jahr 2026: Vergleich nach Abdeckung, Intelligenz und Auto-Fix
Wir haben die besten CVE-Scanner im Jahr 2026 hinsichtlich Abdeckungsbreite, Intelligenzquellen, Signal-Rausch-Verhältnis und Auto-Fix-Fähigkeit bewertet. Hier ist, wie sie sich vergleichen und welcher für Ihren Stack der richtige ist.
Nicht alle CVE-Scanner sind gleich aufgebaut. Wir haben die besten Optionen im Jahr 2026 hinsichtlich Abdeckungsbreite, Intelligenzquellen, Signal-Rausch-Verhältnis und Auto-Fix-Fähigkeit verglichen, damit Sie die richtige Lösung für Ihren Stack finden können.
DevSec-Tools & Vergleiche
Beliebtes PyTorch Lightning Paket durch Mini Shai-Hulud kompromittiert
Beliebtes PyTorch Lightning Paket durch Mini Shai-Hulud kompromittiert
Malware in den beliebten PyTorch Lightning Versionen 2.6.2 und 2.6.3 gefunden, die Anmeldeinformationen, Krypto-Wallets und VPN-Konfigurationen als Teil der Mini Shai-Hulud Kampagne stiehlt.
Malware in den beliebten PyTorch Lightning Versionen 2.6.2 und 2.6.3 gefunden, die Anmeldeinformationen, Krypto-Wallets und VPN-Konfigurationen als Teil der Mini Shai-Hulud Kampagne stiehlt.
Schwachstellen & Bedrohungen
Eine praktische CTO-Sicherheits-Checkliste, um Mythos-ready zu sein
Mythos-Ready Checkliste
Eine praktische Checkliste für SaaS-CTOs, die sich in einer Welt mit Mythos und agentischen KI-Bedrohungen zurechtfinden müssen. Basierend auf dem Vorteil des Verteidigers: Sie haben Kontext, den Angreifer sich erst erarbeiten müssen. Sie deckt die Kontrollen, Praktiken und operativen Gewohnheiten ab, die bestimmen, ob Ihr Team Probleme findet und behebt, bevor es jemand anderes tut.
Leitfäden & Best Practices
Jemand veröffentlichte innerhalb von 27 Minuten vier Versionen eines gefälschten „tanstack“-Pakets, um Ihre .env-Dateien zu stehlen.
Vier veröffentlichte Versionen eines gefälschten „tanstack“-Pakets, die innerhalb von 27 Minuten hochgeladen wurden und Ihre .env-Dateien stehlen wollen.
Ein gefälschtes „tanstack“-npm-Paket veröffentlichte heute innerhalb von 27 Minuten vier bösartige Versionen, die .env-Dateien über einen postinstall-Hook exfiltrierten. Hier erfahren Sie, was passiert ist, wer betroffen war und wie Sie Ihre Anmeldeinformationen rotieren können.
Schwachstellen & Bedrohungen
Aikido integriert sich mit AWS Kiro: Das Erkennen in der Überprüfung skaliert nicht mehr
Aikido x Kiro | Das Erkennen in der Überprüfung skaliert nicht mehr
KI-Agenten schreiben Ihren Code. Aikido integriert sich direkt in den agentischen Workflow von AWS Kiro, um die Sicherheit automatisch von der ersten Zeile an in den Prozess einzubeziehen. Aikido ist der erste globale Sicherheitspartner von AWS für Kiro.
KI-Agenten schreiben Ihren Code. Aikido integriert sich direkt in den agentischen Workflow von AWS Kiro, um die Sicherheit automatisch von der ersten Zeile an in den Prozess einzubeziehen. Aikido ist der erste globale Sicherheitspartner von AWS für Kiro.
Produkt- & Unternehmens-Updates
Mini Shai-Hulud zielt auf SAP npm Packages mit einem Bun-basierten Secret Stealer ab
Mini Shai-Hulud zielt auf SAP npm Packages mit einem Bun-basierten Secret Stealer ab
Kompromittierte SAP npm Packages nutzen einen Bun-basierten Preinstall-Payload, um GitHub-, npm-, Cloud- und CI-Secrets zu stehlen und verbreiten sich dann über GitHub mithilfe von OhNoWhatsGoingOnWithGitHub.
Schwachstellen & Bedrohungen
Es ist an der Zeit, Browser-Erweiterungen wie Supply-Chain-Angriffsvektoren zu behandeln
Es ist an der Zeit, Browser-Erweiterungen wie Supply-Chain-Angriffsvektoren zu behandeln | Erkenntnisse aus dem Vercel-Angriff
Der Vercel-Angriff folgte einem Muster, das der Sicherheitsbranche gut bekannt ist: Code von Drittanbietern wird implizit vertraut und dann vorgelagert kompromittiert. Dafür haben wir ein Framework. Wir haben es nur noch nicht auf Browser-Erweiterungen angewendet. (Spoiler: Bei Software-Abhängigkeiten wenden wir dies bereits an)
Der Vercel-Angriff folgte einem Muster, das der Sicherheitsbranche gut bekannt ist: Code von Drittanbietern wird implizit vertraut und dann vorgelagert kompromittiert. Dafür haben wir ein Framework. Wir haben es nur noch nicht auf Browser-Erweiterungen angewendet. (Spoiler: Bei Software-Abhängigkeiten wenden wir dies bereits an)
Schwachstellen & Bedrohungen
Ist Shai-Hulud zurück? Kompromittiertes Bitwarden CLI enthält einen sich selbst verbreitenden npm Worm
Ist Shai-Hulud zurück? Kompromittiertes Bitwarden CLI enthält einen sich selbst verbreitenden npm Worm
In @bitwarden/cli v2026.4.0 gefundene Malware stiehlt SSH-Schlüssel, Cloud Secrets und Anmeldeinformationen für AI-Coding-Tools und verbreitet sich dann über die eigenen npm-Pakete der Opfer. Im Inneren: ein Wurm, der sich selbst „Shai-Hulud: The Third Coming“ nennt.
In @bitwarden/cli v2026.4.0 gefundene Malware stiehlt SSH-Schlüssel, Cloud Secrets und Anmeldeinformationen für AI-Coding-Tools und verbreitet sich dann über die eigenen npm-Pakete der Opfer. Im Inneren: ein Wurm, der sich selbst „Shai-Hulud: The Third Coming“ nennt.
Schwachstellen & Bedrohungen
GPT-Proxy Backdoor in npm und PyPI verwandelt Server in chinesische LLM-Relays
GPT-Proxy Backdoor in npm und PyPI verwandelt Server in chinesische LLM-Relays
Eine neu entdeckte npm- und PyPI-Malware-Kampagne installiert versteckte LLM-Proxys auf kompromittierten Servern und verwandelt diese in Relay-Knoten für LLM-Traffic.
Eine neu entdeckte npm- und PyPI-Malware-Kampagne installiert versteckte LLM-Proxys auf kompromittierten Servern und verwandelt diese in Relay-Knoten für LLM-Traffic.
Schwachstellen & Bedrohungen
Roundcube XSS, verkettet mit Cookie-Tossing, für vollen Posteingangszugriff
Roundcube XSS, verkettet mit Cookie-Tossing, für vollen Posteingangszugriff
Wir haben eine gespeicherte XSS-Schwachstelle im Entwurfsanhang-Endpunkt von Roundcube gefunden, die, verkettet mit einer Cookie-Tossing-Technik, einem Angreifer vollen Zugriff auf den Posteingang eines Opfers ermöglicht. Hier erfahren Sie, wie die Exploit-Kette funktioniert und wie sie gepatcht wurde.
Wir haben eine gespeicherte XSS-Schwachstelle im Entwurfsanhang-Endpunkt von Roundcube gefunden, die, verkettet mit einer Cookie-Tossing-Technik, einem Angreifer vollen Zugriff auf den Posteingang eines Opfers ermöglicht. Hier erfahren Sie, wie die Exploit-Kette funktioniert und wie sie gepatcht wurde.
Schwachstellen & Bedrohungen
Wir stellen vor: Device Protection: Sicherheit für Entwickelnden-Geräte
Aikido Device Protection: Sicherheit für Entwickelnden-Geräte | Aikido
Lieferkettenangriffe zielen auf Entwickelnden-Geräte ab. Aikido Device Protection überwacht jede Installation über npm, PyPI, VS Code-Erweiterungen, Browser-Erweiterungen und KI-Tools hinweg.
Produkt- & Unternehmens-Updates
Mehrere Cross-Site-Scripting (XSS) Schwachstellen in Mailcow
Mehrere XSS-Schwachstellen in Mailcow gefunden, einschließlich unauthentifizierter Kontoübernahme
Aikidos KI-Penetrationstest-Agent fand drei XSS-Schwachstellen in Mailcow, wovon eine es nicht authentifizierten Angreifern ermöglichte, Administratorkonten zu übernehmen. Alle Probleme wurden mit Version 2026-03b behoben.
Aikidos KI-Penetrationstest-Agenten fanden drei XSS-Schwachstellen in Mailcow, einem weit verbreiteten selbst gehosteten E-Mail-Server. Die schwerwiegendste ermöglichte es nicht authentifizierten Angreifern, eine Payload in Autodiscover-Logs einzuschleusen, die bei Ansicht durch einen Administrator ausgeführt würde, was eine vollständige Kontoübernahme ermöglichte. Alle drei wurden seit Version 2026-03b behoben.
Schwachstellen & Bedrohungen
Zuverlässige CVE-Quellen im Zeitalter der Kürzungen bei NIST NVD
NIST NVD Änderungen 2026: Was Sicherheitsteams wissen müssen
NIST wird die meisten CVEs nicht mehr anreichern. Hier erfahren Sie, was sich ändert, was nicht mehr funktioniert und wie es weitergeht.
Neuigkeiten
Ein Jahr Opengrep: Was wir aufgebaut haben und was als Nächstes kommt
Opengrep SAST nach einem Jahr: Schnellere, deterministische statische Analyse
Ein Jahr nach dem Forken von Semgrep ist Opengrep schneller, unterstützt eine tiefere Taint-Analyse und liefert konsistente, reproduzierbare Ergebnisse.
Ein Jahr nach dem Forken von Semgrep ist Opengrep schneller, leistungsfähiger und vollständig Open Source. Das haben wir entwickelt und das sind die nächsten Schritte.
Produkt- & Unternehmens-Updates
Axios CVE-2026-40175: ein kritischer Bug, der… nicht ausnutzbar ist
Axios CVE-2026-40175: ein kritischer Bug, der… nicht ausnutzbar ist
Axios CVE-2026-40175 wird als kritisch eingestuft, ist aber in realen Node.js-Umgebungen praktisch nicht ausnutzbar. Hier ist der Grund.
Axios CVE-2026-40175 wird als kritisch eingestuft, ist aber in realen Node.js-Umgebungen praktisch nicht ausnutzbar. Hier ist der Grund.
Schwachstellen & Bedrohungen
Bug Bounties sind nicht tot, aber das alte Modell bricht zusammen.
Bug Bounties sind nicht tot, aber das alte Modell bricht zusammen.
Bug Bounty stößt an seine Grenzen, da KI die Programme überfordert und einen Wandel hin zu nachhaltigeren, qualitätsorientierten Sicherheitsmodellen vorantreibt.
Bug Bounty stößt an seine Grenzen, da KI die Programme überfordert und einen Wandel hin zu nachhaltigeren, qualitätsorientierten Sicherheitsmodellen vorantreibt.
Technisches
GlassWorm wird nativ: Neuer Zig-Dropper infiziert jede IDE auf Ihrem System
GlassWorm wird nativ: Neuer Zig-Dropper infiziert jede IDE auf Ihrem System
GlassWorm setzt einen Zig-basierten nativen Dropper ein, der in einer gefälschten Erweiterung versteckt ist, und kompromittiert stillschweigend VS Code, Cursor, VSCodium und andere IDEs.
GlassWorm setzt einen Zig-basierten nativen Dropper ein, der in einer gefälschten Erweiterung versteckt ist, und kompromittiert stillschweigend VS Code, Cursor, VSCodium und andere IDEs.
Schwachstellen & Bedrohungen
Aikido Attack findet mehrere 0-Day-Schwachstellen in Hoppscotch
Aikido Attack findet 0-Day-Schwachstellen in Hoppscotch
Aikidos KI-Penetrationstest-Agenten entdeckten mehrere hochkritische Schwachstellen in Hoppscotch, darunter Account-Übernahme, gespeichertes XSS und fehlerhafte Zugriffskontrollen. Alle Probleme wurden behoben.
Aikido Attack identifizierte drei hochkritische Schwachstellen in Hoppscotch: einen Open Redirect, der zu einer Account-Übernahme führt, gespeichertes XSS und eine fehlerhafte Zugriffskontrolle, die Cross-Team-Request-Injection ermöglicht.
Schwachstellen & Bedrohungen
Der Cybersecurity-Doomerismus rund um Mythos entspricht nicht dem, was wir in der Praxis beobachten
Anthropic Mythos Cybersicherheitsrisiken: Was 1.000 AI-Pentests tatsächlich zeigen
Anthropics geleaktes Mythos-Modell hat Panik vor KI-gestützten Cyberangriffen ausgelöst. Wir haben 1.000 KI-Penetrationstests durchgeführt. Die Ergebnisse deuten darauf hin, dass die Bedrohung nuancierter ist, als die Schlagzeilen behaupten.
Neuigkeiten
axios auf npm kompromittiert: Maintainer-Konto gekapert, RAT bereitgestellt
axios auf npm kompromittiert: Maintainer-Konto gekapert, RAT bereitgestellt
Bösartige axios-Versionen 1.14.1 und 0.30.4 wurden über ein gekapertes Maintainer-Konto veröffentlicht. Eine versteckte Abhängigkeit stellt einen plattformübergreifenden RAT bereit. Prüfen Sie, ob Sie betroffen sind, und beheben Sie das Problem jetzt.
Axios wurde kompromittiert. Bösartige axios-Versionen 1.14.1 und 0.30.4 wurden auf npm veröffentlicht, nachdem das Konto des Hauptentwicklers gehackt wurde. Die injizierte Abhängigkeit stellt einen plattformübergreifenden RAT bereit, der sich nach der Ausführung selbst zerstört.
Schwachstellen & Bedrohungen
Beliebtes Telnyx-Paket auf PyPI von TeamPCP kompromittiert
Beliebtes Telnyx-Paket auf PyPI von TeamPCP kompromittiert
Das beliebte Telnyx-Paket auf PyPI, das von großen KI-Unternehmen genutzt wird, wurde von TeamPCP kompromittiert
Das beliebte Telnyx-Paket auf PyPI, das von großen KI-Unternehmen genutzt wird, wurde von TeamPCP kompromittiert
Schwachstellen & Bedrohungen
Aikido × Lovable: Vibe, Fix, Ship
Lovable kooperiert mit Aikido, um Pentesting für Vibe-Coded Apps bereitzustellen.
Lovable und Aikido integrieren Pentesting in die Plattform, sodass Entwickler reale Angriffe simulieren und Probleme beheben können, bevor die Software ausgeliefert wird.
Aikido integriert Pentesting direkt in Lovable. Testen Sie Ihre App, indem Sie reale Angriffe simulieren und beheben Sie Probleme, bevor Sie die Software ausliefern.
Produkt- & Unternehmens-Updates
CanisterWorm bekommt Zähne: TeamPCPs Kubernetes Wiper zielt auf Iran ab
CanisterWorm bekommt Zähne: TeamPCPs Kubernetes Wiper zielt auf Iran ab
CanisterWorm bekommt Zähne: TeamPCPs Kubernetes Wiper zielt auf Iran ab
CanisterWorm bekommt Zähne: TeamPCPs Kubernetes Wiper zielt auf Iran ab
Schwachstellen & Bedrohungen
TeamPCP setzt CanisterWorm auf NPM nach der Trivy-Kompromittierung ein
TeamPCP setzt CanisterWorm auf NPM nach der Trivy-Kompromittierung ein
TeamPCP setzt CanisterWorm auf NPM nach der Trivy-Kompromittierung ein
TeamPCP setzt CanisterWorm auf NPM nach der Trivy-Kompromittierung ein
Schwachstellen & Bedrohungen
Aikido von Frost & Sullivan mit dem 2026 Customer Value Leadership Award im Bereich ASPM ausgezeichnet
Aikido von Frost & Sullivan mit dem 2026 Customer Value Leadership Award im Bereich ASPM ausgezeichnet
Frost & Sullivan hat Aikido mit dem 2026 Customer Value Leadership Award im Bereich ASPM ausgezeichnet. Wir erläutern, was die Anerkennungskriterien darüber offenbaren, wie der AppSec-Markt reift.
Frost & Sullivan hat Aikido mit dem 2026 Customer Value Leadership Award im Bereich ASPM ausgezeichnet. Wir erläutern, was die Anerkennungskriterien darüber offenbaren, wie der AppSec-Markt reift.
Neuigkeiten
GlassWorm Verbirgt eine RAT in einer bösartigen Chrome-Erweiterung
GlassWorm RAT Über bösartige Chrome-Erweiterung bereitgestellt (Keylogger, Cookie-Diebstahl)
GlassWorm setzt eine mehrstufige RAT ein, die eine bösartige Chrome-Erweiterung zwangsinstalliert, um Tastenanschläge zu protokollieren, Cookies zu stehlen und Daten über ein Solana-basiertes C2 zu exfiltrieren.
GlassWorm setzt eine mehrstufige RAT ein, die eine bösartige Chrome-Erweiterung zwangsinstalliert, um Tastenanschläge zu protokollieren, Cookies zu stehlen und Daten über ein Solana-basiertes C2 zu exfiltrieren.
Schwachstellen & Bedrohungen
Sicherheitstests validieren Software, die nicht mehr existiert
Warum Pentesting nicht mithalten kann: Das Geschwindigkeitsproblem bei Sicherheitstests
Moderne Teams liefern schneller aus, als Pentesting mithalten kann. Entdecken Sie die wachsende Geschwindigkeitslücke bei Sicherheitstests – und warum traditionelle Ansätze ins Hintertreffen geraten.
Ein CISO eines großen Unternehmens sagte uns, die wichtigste Sicherheitsfunktion heute sei Geschwindigkeit. Doch was passiert, wenn Tests nicht mit der Geschwindigkeit mithalten können, mit der sich Systeme ändern?
Leitfäden & Best Practices
fast-draft Open VSX Extension durch BlokTrooper kompromittiert
fast-draft Open VSX Extension durch BlokTrooper (RAT & Infostealer) kompromittiert
Die fast-draft Open VSX Extension wurde kompromittiert, um einen BlokTrooper RAT und Infostealer über auf GitHub gehostete Payloads bereitzustellen. Es wurden mehrere bösartige Versionen identifiziert.
Eine beliebte Open VSX Extension wurde kompromittiert und genutzt, um einen RAT und Infostealer von Angreifer-kontrollierter Infrastruktur bereitzustellen. Ihre Versionshistorie erzählt die wahre Geschichte, wobei bösartige Releases zwischen sauberen Versionen auftauchten.
Schwachstellen & Bedrohungen
Glassworm greift beliebte React Native Telefonnummern-Pakete an
Glassworm greift beliebte React Native Telefonnummern-Pakete in einem neuen Lieferkettenangriff an
Forscher von Aikido Security haben die vollständige Payload-Kette aus zwei bösartigen React Native Paketen wiederhergestellt und entschlüsselt. Hier erfahren Sie, was die Malware tut und worauf Sie achten sollten.
Zwei beliebte React Native npm-Pakete wurden von mutmaßlichen Glassworm-Akteuren mit Backdoors versehen und zur Auslieferung von mehrstufiger Malware verwendet. Hier erfahren Sie, was die Malware tut und worauf Sie achten sollten.
Schwachstellen & Bedrohungen
Glassworm ist zurück: Eine neue Welle unsichtbarer Unicode-Angriffe trifft Hunderte von Repositories
Glassworm kehrt zurück: Unsichtbare Unicode-Malware in über 150 GitHub-Repositories entdeckt
Der Glassworm Supply-Chain-Angriff ist zurück. Forscher entdeckten Malware, die in unsichtbaren Unicode-Zeichen in über 150 GitHub-Repositories sowie in npm-Paketen und VS Code-Erweiterungen versteckt war.
Glassworm ist mit einer neuen Welle unsichtbarer Unicode-Angriffe zurück. Wir verfolgen eine neue Kampagne, die Repositories auf GitHub, npm und VS Code still und heimlich kompromittiert.
Schwachstellen & Bedrohungen
Die besten RSAC 2026 Partys, Side-Events & Security Meetups
RSAC 2026 Partys & Security Events Guide | Aikido
RSAC 2026 Partys & Security Events Guide | Aikido
Neuigkeiten
Wie Sicherheitsteams gegen KI-gestützte Hacker vorgehen
Wie Sicherheitsteams gegen KI-gestützte Hacker vorgehen
KI hat die Einstiegshürde für Hacker drastisch gesenkt. Das bedeutet dies für Verteidiger und wie kontinuierliche KI-Penetrationstests die Gleichung verändern.
Ein einzelner Hacker und ein Claude-Abonnement haben gerade neun mexikanische Regierungsbehörden lahmgelegt. KI hat Angreifern ein erhebliches Power-Upgrade verschafft. Sicherheitsteams brauchen ein neues Playbook.
Schwachstellen & Bedrohungen
Wir stellen Betterleaks vor, einen Open-Source Secrets-Scanner vom Autor von Gitleaks
Betterleaks: Der Gitleaks-Nachfolger für schnelleren Secrets-Scan
Betterleaks ist ein neuer Open-Source Secrets-Scanner vom Entwickler von Gitleaks. Ein direkter Ersatz mit schnelleren Scans, Erkennung der Token-Effizienz, konfigurierbarer Validierung und vielem mehr.
Der Entwickler von Gitleaks bringt seinen Nachfolger auf den Markt. Betterleaks ist ein schnellerer Open-Source-Secrets-Scanner, entwickelt, um mehr Leaks zu erkennen und sich in moderne Entwickelnde-Workflows einzufügen.
Produkt- & Unternehmens-Updates
Wie funktionieren KI-Penetrationstests mit Compliance?
Wie funktionieren KI-Penetrationstests mit Compliance?
KI-Penetrationstests werden für SOC 2, ISO 27001 und HIPAA akzeptiert (weitere werden voraussichtlich folgen). Hier erfahren Sie, worauf Auditoren tatsächlich achten und wo die tatsächlichen Grenzen liegen.
KI-Penetrationstesten wird für SOC 2, ISO 27001, HIPAA und PCI DSS akzeptiert. Hier erfahren Sie, worauf Auditoren tatsächlich achten und wo die wirklichen Einschränkungen liegen.
Compliance
Trumps Cybersicherheitsstrategie 2026: Von Compliance zu Konsequenz
Trumps Cybersicherheitsstrategie 2026: Von Compliance zu Konsequenz
Die Cybersicherheitsstrategie der Trump-Regierung für 2026 verlagert den Fokus von Compliance-Checklisten auf echte Konsequenzen für Cyberkriminelle. Hier ist, was CISOs wissen müssen.
Neuigkeiten
Was kontinuierliches Penetrationstesten tatsächlich erfordert
Kontinuierliches Penetrationstesten: Wie es funktioniert und was es erfordert
Kontinuierliches Penetrationstesten verspricht Echtzeit-Sicherheitsvalidierung, aber die meisten Implementierungen bleiben hinter den Erwartungen zurück. Hier ist, was kontinuierliches Penetrationstesten tatsächlich erfordert – von änderungsbewusstem Testen über Exploit-Validierung bis hin zu Remediation-Loops.
Kontinuierliches Penetrationstesten wird viel diskutiert, aber selten klar definiert. Dieser Artikel erklärt, was es ist, was es nicht ist und was es tatsächlich erfordert.
Leitfäden & Best Practices
Selten, nicht zufällig: Nutzung der Token-Effizienz für den Secrets-Scan
Selten, nicht zufällig: Nutzung der Token-Effizienz für den Secrets-Scan
Entropie hat oft Schwierigkeiten mit generischen Secrets und kurzen Zeichenketten. Wir untersuchen, wie die Token-Effizienz Zeichenketten besser identifizieren kann, die nicht wie normaler Text aussehen.
Entropie ist hervorragend darin, Zufälligkeit zu erkennen. Doch Secrets sind nicht immer zufällig. Es sind lediglich Zeichenketten, die in normalem Code oder Text nicht vorkommen. Wir untersuchen die Nutzung der BPE-Tokenisierung, um diesen Unterschied zu messen.
Leitfäden & Best Practices
Warum Determinismus in der Sicherheit immer noch eine Notwendigkeit ist
Warum Determinismus in der Sicherheit immer noch eine Notwendigkeit ist
KI-Scans finden, was Regeln übersehen. Deterministische Scans finden es jedes Mal. Hier erfahren Sie, warum die besten Security-Pipelines nicht zwischen ihnen wählen.
KI-gestützte Security-Tools werden immer besser darin, Schwachstellen zu finden. Deterministische Tools bieten jedoch die Konsistenz, auf die Pipelines, Compliance und Audit-Trails angewiesen sind. Wir betrachten, was deterministische Scans gut leisten, wo KI übernimmt und wie beide für effektive Sicherheit zusammenarbeiten.
Engineering
WAF vs. RASP vs. ADR
WAF vs. RASP vs. ADR: Wie Runtime Application Security funktioniert
WAF, RASP und ADR schützen Ihre Anwendung auf völlig unterschiedliche Weisen. Hier erfahren Sie, was jede Schicht tatsächlich leistet, wo ihre Grenzen liegen und welche Sie benötigen.
WAF, RASP, ADR, eBPF — Wir klären die Terminologie rund um Runtime Application Security. Hier erfahren Sie, was jede Schicht tatsächlich leistet, wie sie sich überschneiden und wie sie zusammenpassen.
Anleitungen
Vorstellung von Aikido Infinite: Ein neues Modell selbstsichernder Software
Aikido Infinite: Kontinuierliche KI-Penetrationstests für jedes Release
Aikido Infinite führt KI-Penetrationstests bei jeder Code-Änderung durch, validiert die Ausnutzbarkeit, generiert Patches und testet Korrekturen erneut, bevor der Code in Produktion geht, wodurch selbstsichernde Software Realität wird.
Produkt- & Unternehmens-Updates
Persistentes XSS/RCE mittels WebSockets im Storybook-Entwicklungsserver
Persistentes XSS/RCE mittels WebSockets in Storybook (CVE-2026-27148)
CVE-2026-27148 legt eine WebSocket-Hijacking-Schwachstelle in Storybook offen, die zu einer Kompromittierung der Lieferkette eskalieren kann. Erfahren Sie mehr über den Angriffspfad, die Auswirkungen und wie Sie Abhilfe schaffen können.
Aikido Attack entdeckte eine WebSocket-Hijacking-Schwachstelle im Dev-Server von Storybook, die zu persistentem XSS, Remote Code Execution und im schlimmsten Fall zu einer Kompromittierung der Lieferkette führen kann. Wir erklären, wie ein Angreifer dies ohne jegliche Benutzerinteraktion ausnutzen kann und wie ein Entwickelnde nur die falsche Website besuchen muss, um diesem Angriff zum Opfer zu fallen.
Schwachstellen & Bedrohungen
Wie Aikido KI-Penetrationstest-Agenten konzeptbedingt absichert
Wie Aikido KI-Penetrationstest-Agenten absichert und Scope Drift verhindert
Erfahren Sie, wie Aikido KI-Penetrationstest-Agenten durch architektonische Isolation, Laufzeit-Scope-Erzwingung und netzwerkbasierte Kontrollen absichert, um Production Drift und Datenlecks zu verhindern.
KI-Agenten sind darauf ausgelegt, zu explorieren. In der Cybersicherheit benötigt diese Exploration strenge Grenzen. Dieser Artikel erklärt, wie Aikido KI-Penetrationstest-Agenten durch architektonische Isolation, Laufzeit-Scope-Erzwingung und geschichtete Kontrollen absichert, die Risiken konzeptbedingt eindämmen.
Produkt- & Unternehmens-Updates
Astro SSRF mit vollständigem Lesezugriff durch Host-Header-Injection
Astro SSRF-Schwachstelle: Host-Header-Injection in SSR-Fehlerseiten (CVE-2026-25545)
Der KI-Penetrationstests-Agent von Aikido Security entdeckte eine Server-Side Request Forgery (SSRF)-Schwachstelle in Astros SSR-Implementierung. Erfahren Sie, wie die Host-Header-Injection in vorgerenderten Fehlerseiten vollen internen Netzwerkzugriff ermöglichte.
Aikidos KI-Penetrationstest-Agent entdeckte eine SSRF-Schwachstelle in Astros Node.js-Adapter. Wir werden untersuchen, wie Angreifer durch das Einschleusen eines bösartigen Host:-Headers eine interne Anfrage auf jede beliebige URL im lokalen Netzwerk umleiten könnten.
Schwachstellen & Bedrohungen
Wie Sie Ihr Board dazu bringen, sich um Sicherheit zu kümmern (Bevor eine Sicherheitsverletzung das Thema erzwingt)
Wie Sie Ihren Vorstand für Sicherheit gewinnen – noch vor einem Vorfall
Vorstände finanzieren Sicherheit nicht, weil sie wichtig ist. Sie finanzieren vertretbare Entscheidungen. Erfahren Sie hier, wie Sie Risiken einordnen, Unklarheiten reduzieren und echte Unterstützung gewinnen, bevor ein Vorfall die Angelegenheit erzwingt.
Anleitungen
Was ist Slopsquatting? Der bereits stattfindende Angriff durch AI-Paket-Halluzinationen
Slopsquatting: Der bereits stattfindende Angriff durch AI-Paket-Halluzinationen
AI-Modelle halluzinieren npm-Paketnamen. Angreifer registrieren sie zuerst. Hier erfahren Sie, was Slopsquatting ist, wie es sich über Agent Skills verbreitet und wie Sie sich schützen können.
AI-Modelle halluzinieren Paketnamen – und Angreifer registrieren sie, bevor es jemand bemerkt. Slopsquatting ist die AI-Ära-Evolution von Typosquatting, und im Gegensatz zu seinem Vorgänger funktionieren die bestehenden Schutzmechanismen von npm nicht. Wir betrachten die reale Forschung, die zeigt, dass dies bereits geschieht, von bestätigten bösartigen Paketen, die immer noch Hunderte von wöchentlichen Downloads verzeichnen, bis hin zu einem halluzinierten Paketnamen, der sich über AI-Agent-Skill-Dateien auf 237 Repositories verbreitete.
Leitfäden & Best Practices
Die Top 6 Wiz Code Alternativen
Wiz Code Alternativen (2026): 6 Tools im Vergleich und die beste Developer-First-Option
Suchen Sie nach Wiz Code Alternativen? Vergleichen Sie 6 Tools hinsichtlich SAST, DAST, SCA, Preisgestaltung und Entwickelnden-Experience, um die beste AppSec-Plattform für 2026 zu finden.
Dieser Leitfaden vergleicht Wiz Code mit sechs Alternativen: Aikido Security, Snyk, Checkmarx, GitHub Advanced Security, Mend und Veracode, bewertet nach Abdeckung, Developer Experience, KI-gestütztem Triage, Preistransparenz und Bereitstellungsgeschwindigkeit. Aikido Security ist die beste Wahl für Teams, die eine Developer-First-Plattform mit breiter Abdeckung, 85% False Positive Reduktion, KI-AutoFix über SAST, IaC und Container hinweg, nativem DAST und transparenter Preisgestaltung zu etwa einem Zehntel der Kosten von Wiz wünschen.
Leitfäden & Best Practices
Aikido im Application Security Report 2026 von Latio Tech als Platform Leader ausgezeichnet
Aikido im Latio 2026 Report als AppSec Platform Leader benannt
Aikido Security im AppSec Report 2026 von Latio Tech als Platform Leader, KI-Penetrationstests-Innovator und Supply Chain Innovator ausgezeichnet.
Der AppSec Report 2026 von Latio Tech nennt Aikido einen Platform Leader und AI Innovator. Hier erfahren Sie, was der Bericht über die Zukunft der Anwendungssicherheit enthüllt.
Neuigkeiten
Von der Erkennung zur Prävention: Wie Zen IDOR-Schwachstellen zur Laufzeit stoppt
Von der Erkennung zur Prävention: Zen stoppt IDOR zur Laufzeit | Aikido
IDOR-Schwachstellen sind eine der häufigsten Ursachen für mandantenübergreifende Datenlecks in Multi-Tenant-SaaS-Umgebungen. Erfahren Sie, wie Zen die Mandantenisolation zur Laufzeit durchsetzt, indem es SQL-Abfragen analysiert und unsicheren Zugriff verhindert, bevor er ausgeliefert wird.
IDOR-Schwachstellen sind eine Hauptursache für mandantenübergreifende Datenlecks in Multi-Tenant-Anwendungen. In diesem Beitrag erklären wir, wie Zen über die Erkennung hinausgeht und die Mandantenisolation zur Laufzeit erzwingt, wodurch mandantenübergreifender Zugriff versehentlich nicht mehr ausgeliefert werden kann.
Produkt- & Unternehmens-Updates
npm-Backdoor ermöglicht Hackern die Manipulation von Glücksspielergebnissen
npm Supply-Chain-Angriff kapert Game-Backend zur Manipulation von Glücksspielergebnissen
Ein gezielter npm Supply-Chain-Angriff installiert eine Express-Backdoor, ermöglicht Remote-SQL-/Dateizugriff und schreibt Glücksspielguthaben um, während die Logs konsistent bleiben.
Wir haben bösartige npm-Pakete aufgedeckt, die Glücksspieltransaktionen in der Produktion modifizieren und die Datenbank anschließend intern konsistent halten können.
Schwachstellen & Bedrohungen
Warum der Versuch, OpenClaw zu sichern, lächerlich ist
Warum der Versuch, OpenClaw zu sichern, lächerlich ist
Die Sicherheitsprobleme von OpenClaw erklärt: Malware in ClawHub, offengelegte Instanzen und warum Hardening-Anleitungen am Ziel vorbeigehen. Kann man den AI-Agenten sicher nutzen??
Neuigkeiten
Einführung der Upgrade-Auswirkungsanalyse: Wann sind grundlegende Änderungen für Ihren Code tatsächlich von Bedeutung?
Analyse der Upgrade-Auswirkungen: Wenn Breaking Changes wirklich relevant sind | Aikido
Aikido erkennt automatisch Breaking Changes bei Dependency-Upgrades und analysiert Ihre Codebasis, um die tatsächlichen Auswirkungen aufzuzeigen, sodass Teams Sicherheits-Fixes sicher mergen können.
Aikidos Upgrade Impact Analysis kennzeichnet Breaking Changes in Abhängigkeits-Updates und zeigt, ob diese Änderungen tatsächlich Ihren Code beeinflussen.
Produkt- & Unternehmens-Updates
Claude Opus 4.6 fand 500 Schwachstellen. Was ändert das für die Software-Sicherheit?
Claude Opus 4.6 fand 500 Schwachstellen: Was das für die Softwaresicherheit bedeutet
Anthropic behauptet, Claude Opus 4.6 habe über 500 hochkritische Schwachstellen in Open Source aufgedeckt. Hier erfahren Sie, was das für die Schwachstellenfindung, die Validierung der Ausnutzbarkeit und die Sicherheitsprozesse in der Produktion bedeutet.
Claude Opus 4.6 hat Berichten zufolge über 500 hochkritische Schwachstellen in Open Source gefunden. Dieser Artikel untersucht, was sich dadurch in der Produktion tatsächlich ändert, wo LLM-Reasoning hilfreich ist und warum Validierung und Erreichbarkeitsanalyse immer noch den tatsächlichen Sicherheitsimpact bestimmen.
Neuigkeiten
Wir stellen vor: Aikido Expansion Packs: Sicherere Standardeinstellungen direkt in der IDE
Aikido Expansion Packs: Sicherere Standardeinstellungen direkt in der IDE
Aikido Expansion Packs fügen gezielte Sicherheitskontrollen direkt in Ihre IDE ein. Aktivieren Sie Secrets-Schutz, Supply-Chain-Malware-Prüfungen und KI-gestützte Codesicherheit, ohne die Workflows der Entwickelnden zu ändern.
Produkt- & Unternehmens-Updates
Internationaler KI-Sicherheitsbericht 2026: Was er für autonome KI-Systeme bedeutet
Internationaler KI-Sicherheitsbericht 2026: Analyse von Aikido Security
Die Analyse von Aikido Security zum Internationalen KI-Sicherheitsbericht 2026. Wir untersuchen Kontrollen zur Bereitstellungszeit, Validierungsanforderungen und praktische Sicherheitsgrundlagen für autonome KI-Systeme.
Über 100 Experten haben zum Internationalen KI-Sicherheitsbericht 2026 beigetragen, der Risiken autonomer KI-Systeme dokumentiert und Defense-in-Depth-Frameworks vorschlägt. Als Team, das KI-Penetrationstests-Systeme in Produktion betreibt, analysieren wir, wo der Bericht richtig liegt und wo er mehr technische Spezifität benötigt.
Neuigkeiten
Selbstsichernde Software: Was es ist, warum es wichtig ist und wie es funktioniert
Was ist selbstsichernde Software? Ein neues Sicherheitsmodell für moderne Software
Selbstsichernde Software ist ein Sicherheitsmodell, bei dem Systeme kontinuierlich reale Risiken validieren und beheben, während sie sich ändern. Erfahren Sie, warum periodische Tests nicht mehr skalieren.
Selbstsichernde Software betrachtet Sicherheit als eine integrierte Systemfähigkeit, nicht als einen periodischen Prozess. Dieser Artikel erklärt, warum moderne Software ein neues Sicherheitsmodell erfordert und was es heute möglich macht.
Produkt- & Unternehmens-Updates
Sicherer SDLC für Entwicklungsteams (+ Checkliste)
Sicherer SDLC erklärt: Die 5 Säulen eines sicheren Softwareentwicklungs-Lebenszyklus
Erfahren Sie, was ein sicherer SDLC ist, warum er wichtig ist und die fünf Säulen, die jedes Team benötigt. Enthält eine praktische Secure SDLC-Checkliste für CTOs und Engineering-Leiter.
Leitfäden & Best Practices
Top 10 KI-Sicherheitstools für 2026
Top 10 KI-Sicherheitstools für 2026: Funktionen, Vorteile und Vergleiche
Entdecken Sie die besten KI-Sicherheitstools für 2026. Vergleichen Sie Plattformen für KI-Code-Reviews, Schwachstellenerkennung, Penetrationstests und Risikomanagement, um moderne Anwendungen zu sichern.
DevSec-Tools & Vergleiche
Top 10 Cybersicherheitstools für 2026
Top 10 Cybersicherheitstools für 2026: Erkennung, Cloud, XDR & AppSec
Eine praktische Übersicht der Top 10 Cybersicherheitstools für 2026, die Endpoint, Cloud, Identität, Schwachstellenmanagement und XDR abdecken. Erfahren Sie, wie Sie das richtige Tool für Ihren Stack und Ihr Risikoprofil auswählen.
DevSec-Tools & Vergleiche
Was ist kontinuierliches Penetrationstesten?
Was ist kontinuierliches Penetrationstesten? Wie moderne Teams das ausnutzbare Risiko reduzieren
Kontinuierliches Penetrationstesten testet automatisch reale Angriffspfade jedes Mal, wenn sich Software ändert, wobei Probleme als Teil des Entwicklungszyklus validiert und behoben werden. Erfahren Sie, wie es sich im Vergleich zu AI- und manuellem Penetrationstesten verhält.
Kontinuierliches Penetrationstesten betrachtet Sicherheit als ein lebendiges System, nicht als einen einmaligen Test. Erfahren Sie, wie moderne Teams es nutzen, um das ausnutzbare Risiko bei Softwareänderungen zu reduzieren.
Leitfäden & Best Practices
npx-Verwirrung: Pakete, die vergessen haben, ihren eigenen Namen zu beanspruchen
npx-Verwirrung: Pakete, die vergessen haben, ihren eigenen Namen zu beanspruchen
Wir haben 128 nicht beanspruchte npm-Paketnamen registriert, die offizielle Dokumentationen Entwickelnden zur npx-Ausführung empfahlen. Sieben Monate später: 121.000 Downloads. Alle hätten beliebigen Code ausgeführt.
Offizielle Dokumentationen weisen Entwickelnde an, `npx package-name` auszuführen. Doch was, wenn niemand diesen Namen beansprucht hat? Wir haben 128 davon registriert und beobachtet. 121.000 Downloads in sieben Monaten. Der Feiertagsrückgang beweist, dass es sich um echte Entwickelnde und nicht um Bots handelt.
Schwachstellen & Bedrohungen
Wir stellen vor: Aikido Package Health: Ein besserer Weg, Ihren Abhängigkeiten zu vertrauen
Aikido Package Health: Health Score für Open-Source-Pakete
Sehen Sie, wie stabil und gut gewartet ein Open-Source-Paket wirklich ist. Aikido Package Health hilft Entwicklern, sicherere Abhängigkeiten mit Vertrauen zu wählen.
Produkt- & Unternehmens-Updates
KI-Penetrationstests: Mindestanforderungen an die Sicherheit für Sicherheitstests
Wann sind KI-Penetrationstests sicher? Mindestsicherheitsanforderungen für Sicherheitstests
KI-Penetrationstest-Systeme agieren autonom in Live-Umgebungen. Erfahren Sie, wann KI-Penetrationstests sicher eingesetzt werden können, welche minimalen technischen Schutzmaßnahmen erforderlich sind und wie man KI-Sicherheitstest-Tools verantwortungsvoll bewertet.
KI-Penetrationstests sind bereits Realität, aber klare Sicherheitserwartungen fehlen noch. Dieser Artikel definiert einen Mindestsicherheitsstandard für KI-Penetrationstests und bietet Teams eine konkrete Grundlage zur Bewertung neuer Tools.
Leitfäden & Best Practices
Gefälschte Clawdbot VS Code Extension installiert ScreenConnect RAT
Gefälschte Clawdbot VS Code Extension installiert ScreenConnect RAT
Eine bösartige VS Code Extension, die sich als Clawdbot ausgibt, installiert ScreenConnect RAT auf Entwickler-Maschinen.
Eine bösartige VS Code Extension, die sich als Clawdbot ausgibt, installiert ScreenConnect RAT auf Entwickler-Maschinen.
Schwachstellen & Bedrohungen
Die Top 7 Bedrohungsaufklärungstools im Jahr 2026
Die Top 7 Bedrohungsaufklärungstools im Jahr 2026: Rauschen reduzieren und sich auf reale Risiken konzentrieren
Ein tiefer Einblick in die Top Bedrohungsaufklärungstools des Jahres 2026, der vergleicht, wie sie Alert Fatigue reduzieren, Kontext hinzufügen und Teams helfen, reale Sicherheitsrisiken zu priorisieren.
DevSec-Tools & Vergleiche
Die Top 14 VS Code-Erweiterungen für 2026
Die Top 14 VS Code-Erweiterungen für 2026: Produktivität, Testen, Sicherheit und Zusammenarbeit
Ein praktischer Leitfaden zu den besten VS Code-Erweiterungen für 2026, der Produktivitäts-, Test-, Kollaborations- und Sicherheitstools abdeckt, die reale Entwickelnde-Workflows verbessern.
DevSec-Tools & Vergleiche
G_Wagon: npm-Paket setzt Python-Stealer ein, der über 100 Krypto-Wallets angreift
G_Wagon: npm-Paket setzt Python-Stealer ein, der über 100 Krypto-Wallets angreift
Das npm-Paket ansi-universal-ui liefert den GWagon Infostealer, der über 100 Krypto-Wallets, Browser-Zugangsdaten und Cloud-Schlüssel angreift. Wir haben alle 10 Versionen analysiert, während der Angreifer in Echtzeit iterierte.
Schwachstellen & Bedrohungen
Pentest GPT: Wie LLMs Penetrationstests neu gestalten
Pentest GPT: Wie KI Penetrationstests verändert
Erfahren Sie, wie Pentest GPT LLMs nutzt, um Angriffslogik zu automatisieren, reale Exploits zu simulieren und Tests zu skalieren. Sehen Sie, wie Aikido jede Erkenntnis validiert.
DevSec-Tools & Vergleiche
Vielen Dank! Ihre Einreichung wurde empfangen!
Hoppla! Beim Absenden des Formulars ist etwas schiefgelaufen.
28. Mai 2024
„•“
Leitfäden & Best Practices

Die 10 größten Sicherheitsprobleme von Apps und wie man sich schützt

Als Entwickelnde haben Sie keine Zeit für perfekte App-Sicherheit. Hier ist die Kurzfassung zu den größten Problemen, ob Sie gefährdet sind und wie Sie diese beheben können.

Tags/

#AppSec

2. Mai 2024
„•“
Produkt- & Unternehmens-Updates

Wir haben gerade unsere Series-A-Finanzierungsrunde über 17 Millionen US-Dollar abgeschlossen

Wir haben 17 Millionen US-Dollar eingeworben, um „No-BS“-Sicherheit für Entwickelnde zu bieten. Wir freuen uns, Henri Tilloy von Singular.vc an Bord begrüßen zu dürfen, der erneut von Notion Capital und Connect Ventures begleitet wird. Diese Runde kommt nur 6 Monate, nachdem wir 5,3 Millionen US-Dollar an Seed-Finanzierung erhalten haben. Das ist schnell.

Tags/

#AppSec

#DevSecOps

4. April 2024
„•“
Leitfäden & Best Practices

Webhook-Sicherheits-Checkliste: Wie man sichere Webhooks erstellt

Bauen Sie Webhooks in Ihr SaaS ein? Nutzen Sie diese Webhook-Security-Checklist, um sicherzustellen, dass Sie die notwendigen Schritte zum Schutz Ihrer App und Benutzerdaten unternehmen.

Tags/

#DevSecOps

21. Februar 2024
„•“
Leitfäden & Best Practices

Das Heilmittel gegen das Security Alert Fatigue Syndrom

Aikido zielt darauf ab, das Security Alert Fatigue Syndrome zu heilen, indem es Rauschen und Fehlalarme reduziert, die die Zeit von Entwickelnden verschwenden. Erfahren Sie, wie Aikido irrelevante Security-Alerts für Sie intelligent ignoriert und Schweregrade anpasst. Dies hilft Aikido-Benutzern, Fixes für echte Bedrohungen leichter zu priorisieren. Dieser Win-Win-Ansatz verbessert die Produktivität von Entwickelnden und löst Security-Probleme schneller.

Tags/

#Schwachstellen

16. Januar 2024
„•“
Compliance

NIS2: Wer ist betroffen?

Fällt Ihr B2B-Unternehmen in den Geltungsbereich der NIS2-Richtlinie? Finden Sie heraus, ob Sie NIS2 basierend auf Branchen- und Größenkriterien einhalten müssen. Was sind essenzielle und wichtige Sektoren und Unternehmensgrößen-Schwellenwerte? Die App von Aikido verfügt über eine NIS2-Berichtsfunktion.

Tags/

#Compliance

#NIS2

5. Dezember 2023
„•“
Compliance

ISO 27001-Zertifizierung: 8 Dinge, die wir gelernt haben

Wir wünschten, wir hätten diese Tipps gekannt, bevor wir den ISO 27001:2022 Compliance-Prozess begonnen haben. Dies ist unser Rat an jedes SaaS-Unternehmen, das ISO 27001 anstrebt.

Tags/

#Compliance

30. November 2023
„•“
Kundenerlebnisse

Cronos Group wählt Aikido Security zur Stärkung der Sicherheitslage für ihre Unternehmen und Kunden

Die Cronos Group wählt Aikido Security, um ihre Security Posture zu stärken. Das Partner Portal von Aikido bietet der Cronos Group einen zentralen Überblick über die Unternehmen ihrer Gruppe. Zusätzlich wird die Cronos Group als Reseller Aikido ihren Kunden anbieten.

Tags/

#usecase

22. November 2023
„•“
Kundenerlebnisse

Wie Loctax Aikido Security nutzt, um irrelevante Sicherheitswarnungen und False Positives zu beseitigen

Durch die Nutzung der Lösungen von Aikido Security optimierte Loctax seine Security Posture, einschließlich der Beseitigung von Fehlalarmen. Dies hat jeden Monat wertvolle Zeit gespart und bemerkenswerte Kosteneffizienzen erzielt.

Tags/

#usecase

9. November 2023
„•“
Produkt- & Unternehmens-Updates

Aikido Security nimmt 5 Mio. € ein, um wachsenden SaaS-Unternehmen eine nahtlose Sicherheitslösung anzubieten

Tags/

#DevSecOps

#AppSec

8. November 2023
„•“
Produkt- & Unternehmens-Updates

Aikido Security erreicht ISO 27001:2022 Compliance

Tags/

#Compliance

24. Oktober 2023
„•“
Kundenerlebnisse

Wie der CTO von StoryChief Aikido Security nutzt, um nachts besser zu schlafen

Verlieren Sie den Schlaf wegen Startup-Security-Bedenken? Entdecken Sie, wie Aikido Security die Security Posture von StoryChief verbesserte und dem CTO Seelenfrieden und besseren Schlaf verschaffte.

Tags/

#usecase

17. Oktober 2023
„•“
Schwachstellen & Bedrohungen

Was ist ein CVE?

CVEs sind die gemeinsame Sprache der Sicherheitswelt für bekannte Schwachstellen, doch im Jahr 2026 steht das System unter ernsthaftem Druck. Dieser Leitfaden behandelt, wie CVEs funktionieren, wie sie mit CVSS bewertet werden und warum die Datenbanken, auf die sich Teams verlassen, nicht mehr vollständig sind. Er behandelt auch, was dagegen zu tun ist, einschließlich wie Aikido Intel Schwachstellen aufdeckt, die es nie in eine öffentliche Datenbank schaffen.

Tags/

#Schwachstellen

#AI

#open-source

Produkt- & Unternehmens-Updates
Alle anzeigen
Alle anzeigen
12. Mai 2026
„•“
Produkt- & Unternehmens-Updates

Ein Jahr Opengrep: Was wir aufgebaut haben und was als Nächstes kommt

Ein Jahr nach dem Forken von Semgrep ist Opengrep schneller, unterstützt eine tiefere Taint-Analyse und liefert konsistente, reproduzierbare Ergebnisse.

#
SAST
#
Open Source
30. April 2026
„•“
Produkt- & Unternehmens-Updates

Aikido integriert sich mit AWS Kiro: Das Erkennen in der Überprüfung skaliert nicht mehr

KI-Agenten schreiben Ihren Code. Aikido integriert sich direkt in den agentischen Workflow von AWS Kiro, um die Sicherheit automatisch von der ersten Zeile an in den Prozess einzubeziehen. Aikido ist der erste globale Sicherheitspartner von AWS für Kiro.

#
Ankündigungen
24. März 2026
„•“
Produkt- & Unternehmens-Updates

Aikido × Lovable: Vibe, Fix, Ship

Lovable und Aikido integrieren Pentesting in die Plattform, sodass Entwickler reale Angriffe simulieren und Probleme beheben können, bevor die Software ausgeliefert wird.

#
Ankündigungen
#
AI Penetration Testing
Schwachstellen & Bedrohungen
Alle anzeigen
Alle anzeigen
10. Juni 2026
„•“
Schwachstellen & Bedrohungen

Eine seit 10 Jahren bestehende kritische Sicherheitslücke in phpBB betrifft Millionen von Nutzern in Tausenden von Foren

Aikido hat eine kritische Sicherheitslücke in phpBB entdeckt, durch die die Authentifizierung ohne vorherige Anmeldung umgangen werden kann und von der Millionen von Nutzern betroffen sind. Eine einzige HTTP-Anfrage reicht aus, um die Kontrolle über ein beliebiges Konto zu erlangen – eine Schwachstelle, die seit 2014 im Quellcode vorhanden ist.

#
AI Penetration Testing
9. Juni 2026
„•“
Schwachstellen & Bedrohungen

Moment mal, was kann „binding.gyp“ denn alles? Eine Erkundung des seltsamsten Build-Systems von npm

Ein tiefer Einblick in „binding.gyp“, die oft übersehene npm-Build-Datei, die bei der Installation über Shell-Erweiterungen, Sandbox-Escapes und Compiler-Hijacking bösartigen Code ausführen kann.

#
Malware
21. Mai 2026
„•“
Schwachstellen & Bedrohungen

Google API-Schlüssel funktionieren weiterhin, nachdem Sie sie gelöscht haben

Das Löschen eines Google API-Schlüssels widerruft ihn nicht sofort. Unsere Tests ergaben erfolgreiche Authentifizierungen bis zu 23 Minuten nach dem Löschen, und Google hat sich geweigert, dies zu beheben.

#
AppSec
#
Schwachstellen
DevSec-Tools & Vergleiche
Alle anzeigen
Alle anzeigen
19. August 2025
„•“
DevSec-Tools & Vergleiche

Top 12 Dynamische Anwendungssicherheitstests (DAST) Tools im Jahr 2026

Entdecken Sie die 12 besten Tools für Dynamische Anwendungssicherheitstests (DAST) im Jahr 2026. Vergleichen Sie Funktionen, Vor- und Nachteile sowie Integrationen, um die richtige DAST-Lösung für Ihre DevSecOps-Pipeline zu wählen.

#
Tools
#
DAST
18. Juli 2025
„•“
DevSec-Tools & Vergleiche

Die 14 besten Tools Container im Jahr 2026

Entdecken Sie die 14 besten Tools Container im Jahr 2026. Vergleichen Sie Funktionen, Vor- und Nachteile sowie Integrationsmöglichkeiten, um die richtige Lösung für Ihre DevSecOps zu finden.

#
Tools
#
Container-Scanning
17. Juli 2025
„•“
DevSec-Tools & Vergleiche

Die 10 besten Tools für Software-Kompositionsanalyse (SCA) im Jahr 2026

SCA-Tools sind unsere beste Verteidigungslinie für Open-Source-Sicherheit. Dieser Artikel untersucht die 10 besten Open-Source-Dependency-Scanner für 2026.

#
Tools
#
SCA
Leitfäden & Best Practices
Alle anzeigen
Alle anzeigen
30. April 2026
„•“
Leitfäden & Best Practices

Eine praktische CTO-Sicherheits-Checkliste, um Mythos-ready zu sein

Eine praktische Checkliste für SaaS-CTOs, die sich in einer Welt mit Mythos und agentischen KI-Bedrohungen zurechtfinden müssen. Basierend auf dem Vorteil des Verteidigers: Sie haben Kontext, den Angreifer sich erst erarbeiten müssen. Sie deckt die Kontrollen, Praktiken und operativen Gewohnheiten ab, die bestimmen, ob Ihr Team Probleme findet und behebt, bevor es jemand anderes tut.

#
AI
#
Selbstsichernde Software
#
Ankündigungen
19. März 2026
„•“
Leitfäden & Best Practices

Sicherheitstests validieren Software, die nicht mehr existiert

Moderne Teams liefern schneller aus, als Pentesting mithalten kann. Entdecken Sie die wachsende Geschwindigkeitslücke bei Sicherheitstests – und warum traditionelle Ansätze ins Hintertreffen geraten.

#
AI Penetration Testing
#
Kontinuierliches Pentesten
#
Pentesting
6. März 2026
„•“
Leitfäden & Best Practices

Was kontinuierliches Penetrationstesten tatsächlich erfordert

Kontinuierliches Penetrationstesten verspricht Echtzeit-Sicherheitsvalidierung, aber die meisten Implementierungen bleiben hinter den Erwartungen zurück. Hier ist, was kontinuierliches Penetrationstesten tatsächlich erfordert – von änderungsbewusstem Testen über Exploit-Validierung bis hin zu Remediation-Loops.

Sicherheit jetzt implementieren

Sichern Sie Ihren Code, Ihre Cloud und Ihre Laufzeit in einem zentralen System.
Finden und beheben Sie Schwachstellen schnell und automatisch.

Jetzt scannen
Ohne Kreditkarte
Demo buchen
Keine Kreditkarte erforderlich | Scan-Ergebnisse in 32 Sek.