Willkommen in unserem Blog.

Bug Bounties sind nicht tot, aber das alte Modell bricht zusammen.

Bug Bounty stößt an seine Grenzen, da KI die Programme überfordert und einen Wandel hin zu nachhaltigeren, qualitätsorientierten Sicherheitsmodellen vorantreibt.

Technisches

GlassWorm wird nativ: Neuer Zig-Dropper infiziert jede IDE auf Ihrem System

GlassWorm setzt einen Zig-basierten nativen Dropper ein, der in einer gefälschten Erweiterung versteckt ist, und kompromittiert stillschweigend VS Code, Cursor, VSCodium und andere IDEs.

Aikido Attack findet mehrere 0-Day-Schwachstellen in Hoppscotch

Aikido Attack findet 0-Day-Schwachstellen in Hoppscotch

Aikidos KI-Penetrationstest-Agenten entdeckten mehrere hochkritische Schwachstellen in Hoppscotch, darunter Account-Übernahme, gespeichertes XSS und fehlerhafte Zugriffskontrollen. Alle Probleme wurden behoben.

Aikido Attack identifizierte drei hochkritische Schwachstellen in Hoppscotch: einen Open Redirect, der zu einer Account-Übernahme führt, gespeichertes XSS und eine fehlerhafte Zugriffskontrolle, die Cross-Team-Request-Injection ermöglicht.

Der Cybersecurity-Doomerismus rund um Mythos entspricht nicht dem, was wir in der Praxis beobachten

Anthropic Mythos Cybersicherheitsrisiken: Was 1.000 AI-Pentests tatsächlich zeigen

Anthropics geleaktes Mythos-Modell hat Panik vor KI-gestützten Cyberangriffen ausgelöst. Wir haben 1.000 KI-Penetrationstests durchgeführt. Die Ergebnisse deuten darauf hin, dass die Bedrohung nuancierter ist, als die Schlagzeilen behaupten.

axios auf npm kompromittiert: Maintainer-Konto gekapert, RAT bereitgestellt

Bösartige axios-Versionen 1.14.1 und 0.30.4 wurden über ein gekapertes Maintainer-Konto veröffentlicht. Eine versteckte Abhängigkeit stellt einen plattformübergreifenden RAT bereit. Prüfen Sie, ob Sie betroffen sind, und beheben Sie das Problem jetzt.

Beliebtes Telnyx-Paket auf PyPI von TeamPCP kompromittiert

Das beliebte Telnyx-Paket auf PyPI, das von großen KI-Unternehmen genutzt wird, wurde von TeamPCP kompromittiert

Aikido × Lovable: Vibe, Fix, Ship

Lovable kooperiert mit Aikido, um Pentesting für Vibe-Coded Apps bereitzustellen.

Lovable und Aikido integrieren Pentesting in die Plattform, sodass Entwickler reale Angriffe simulieren und Probleme beheben können, bevor die Software ausgeliefert wird.

Aikido integriert Pentesting direkt in Lovable. Testen Sie Ihre App, indem Sie reale Angriffe simulieren und beheben Sie Probleme, bevor Sie die Software ausliefern.

CanisterWorm bekommt Zähne: TeamPCPs Kubernetes Wiper zielt auf Iran ab

TeamPCP setzt CanisterWorm auf NPM nach der Trivy-Kompromittierung ein

Aikido von Frost & Sullivan mit dem 2026 Customer Value Leadership Award im Bereich ASPM ausgezeichnet

Frost & Sullivan hat Aikido mit dem 2026 Customer Value Leadership Award im Bereich ASPM ausgezeichnet. Wir erläutern, was die Anerkennungskriterien darüber offenbaren, wie der AppSec-Markt reift.

GlassWorm Verbirgt eine RAT in einer bösartigen Chrome-Erweiterung

GlassWorm RAT Über bösartige Chrome-Erweiterung bereitgestellt (Keylogger, Cookie-Diebstahl)

GlassWorm setzt eine mehrstufige RAT ein, die eine bösartige Chrome-Erweiterung zwangsinstalliert, um Tastenanschläge zu protokollieren, Cookies zu stehlen und Daten über ein Solana-basiertes C2 zu exfiltrieren.

Sicherheitstests validieren Software, die nicht mehr existiert

Warum Pentesting nicht mithalten kann: Das Geschwindigkeitsproblem bei Sicherheitstests

Moderne Teams liefern schneller aus, als Pentesting mithalten kann. Entdecken Sie die wachsende Geschwindigkeitslücke bei Sicherheitstests – und warum traditionelle Ansätze ins Hintertreffen geraten.

Ein CISO eines großen Unternehmens sagte uns, die wichtigste Sicherheitsfunktion heute sei Geschwindigkeit. Doch was passiert, wenn Tests nicht mit der Geschwindigkeit mithalten können, mit der sich Systeme ändern?

fast-draft Open VSX Extension durch BlokTrooper kompromittiert

fast-draft Open VSX Extension durch BlokTrooper (RAT & Infostealer) kompromittiert

Die fast-draft Open VSX Extension wurde kompromittiert, um einen BlokTrooper RAT und Infostealer über auf GitHub gehostete Payloads bereitzustellen. Es wurden mehrere bösartige Versionen identifiziert.

Eine beliebte Open VSX Extension wurde kompromittiert und genutzt, um einen RAT und Infostealer von Angreifer-kontrollierter Infrastruktur bereitzustellen. Ihre Versionshistorie erzählt die wahre Geschichte, wobei bösartige Releases zwischen sauberen Versionen auftauchten.

Glassworm greift beliebte React Native Telefonnummern-Pakete an

Glassworm greift beliebte React Native Telefonnummern-Pakete in einem neuen Lieferkettenangriff an

Forscher von Aikido Security haben die vollständige Payload-Kette aus zwei bösartigen React Native Paketen wiederhergestellt und entschlüsselt. Hier erfahren Sie, was die Malware tut und worauf Sie achten sollten.

Zwei beliebte React Native npm-Pakete wurden von mutmaßlichen Glassworm-Akteuren mit Backdoors versehen und zur Auslieferung von mehrstufiger Malware verwendet. Hier erfahren Sie, was die Malware tut und worauf Sie achten sollten.

Glassworm ist zurück: Eine neue Welle unsichtbarer Unicode-Angriffe trifft Hunderte von Repositories

Glassworm kehrt zurück: Unsichtbare Unicode-Malware in über 150 GitHub-Repositories entdeckt

Der Glassworm Supply-Chain-Angriff ist zurück. Forscher entdeckten Malware, die in unsichtbaren Unicode-Zeichen in über 150 GitHub-Repositories sowie in npm-Paketen und VS Code-Erweiterungen versteckt war.

Glassworm ist mit einer neuen Welle unsichtbarer Unicode-Angriffe zurück. Wir verfolgen eine neue Kampagne, die Repositories auf GitHub, npm und VS Code still und heimlich kompromittiert.

Die besten RSAC 2026 Partys, Side-Events & Security Meetups

RSAC 2026 Partys & Security Events Guide | Aikido

Wie Sicherheitsteams gegen KI-gestützte Hacker vorgehen

KI hat die Einstiegshürde für Hacker drastisch gesenkt. Das bedeutet dies für Verteidiger und wie kontinuierliche KI-Penetrationstests die Gleichung verändern.

Ein einzelner Hacker und ein Claude-Abonnement haben gerade neun mexikanische Regierungsbehörden lahmgelegt. KI hat Angreifern ein erhebliches Power-Upgrade verschafft. Sicherheitsteams brauchen ein neues Playbook.

Wir stellen Betterleaks vor, einen Open-Source Secrets-Scanner vom Autor von Gitleaks

Betterleaks: Der Gitleaks-Nachfolger für schnelleren Secrets-Scan

Betterleaks ist ein neuer Open-Source Secrets-Scanner vom Entwickler von Gitleaks. Ein direkter Ersatz mit schnelleren Scans, Erkennung der Token-Effizienz, konfigurierbarer Validierung und vielem mehr.

Der Entwickler von Gitleaks bringt seinen Nachfolger auf den Markt. Betterleaks ist ein schnellerer Open-Source-Secrets-Scanner, entwickelt, um mehr Leaks zu erkennen und sich in moderne Entwickelnde-Workflows einzufügen.

Wie funktionieren KI-Penetrationstests mit Compliance?

Wie funktioniert KI-Penetrationstesten mit Compliance?

KI-Penetrationstesten wird für SOC 2, ISO 27001, HIPAA und PCI DSS akzeptiert. Hier erfahren Sie, worauf Auditoren tatsächlich achten und wo die wirklichen Einschränkungen liegen.

Compliance

Trumps Cybersicherheitsstrategie 2026: Von Compliance zu Konsequenz

Die Cybersicherheitsstrategie der Trump-Regierung für 2026 verlagert den Fokus von Compliance-Checklisten auf echte Konsequenzen für Cyberkriminelle. Hier ist, was CISOs wissen müssen.

Was kontinuierliches Penetrationstesten tatsächlich erfordert

Kontinuierliches Penetrationstesten: Wie es funktioniert und was es erfordert

Kontinuierliches Penetrationstesten verspricht Echtzeit-Sicherheitsvalidierung, aber die meisten Implementierungen bleiben hinter den Erwartungen zurück. Hier ist, was kontinuierliches Penetrationstesten tatsächlich erfordert – von änderungsbewusstem Testen über Exploit-Validierung bis hin zu Remediation-Loops.

Kontinuierliches Penetrationstesten wird viel diskutiert, aber selten klar definiert. Dieser Artikel erklärt, was es ist, was es nicht ist und was es tatsächlich erfordert.

Selten, nicht zufällig: Nutzung der Token-Effizienz für den Secrets-Scan

Entropie hat oft Schwierigkeiten mit generischen Secrets und kurzen Zeichenketten. Wir untersuchen, wie die Token-Effizienz Zeichenketten besser identifizieren kann, die nicht wie normaler Text aussehen.

Entropie ist hervorragend darin, Zufälligkeit zu erkennen. Doch Secrets sind nicht immer zufällig. Es sind lediglich Zeichenketten, die in normalem Code oder Text nicht vorkommen. Wir untersuchen die Nutzung der BPE-Tokenisierung, um diesen Unterschied zu messen.

Warum Determinismus in der Sicherheit immer noch eine Notwendigkeit ist

KI-Scans finden, was Regeln übersehen. Deterministische Scans finden es jedes Mal. Hier erfahren Sie, warum die besten Security-Pipelines nicht zwischen ihnen wählen.

KI-gestützte Security-Tools werden immer besser darin, Schwachstellen zu finden. Deterministische Tools bieten jedoch die Konsistenz, auf die Pipelines, Compliance und Audit-Trails angewiesen sind. Wir betrachten, was deterministische Scans gut leisten, wo KI übernimmt und wie beide für effektive Sicherheit zusammenarbeiten.

Engineering

WAF vs. RASP vs. ADR

WAF vs. RASP vs. ADR: Wie Runtime Application Security funktioniert

WAF, RASP und ADR schützen Ihre Anwendung auf völlig unterschiedliche Weisen. Hier erfahren Sie, was jede Schicht tatsächlich leistet, wo ihre Grenzen liegen und welche Sie benötigen.

WAF, RASP, ADR, eBPF — Wir klären die Terminologie rund um Runtime Application Security. Hier erfahren Sie, was jede Schicht tatsächlich leistet, wie sie sich überschneiden und wie sie zusammenpassen.

Anleitungen

Vorstellung von Aikido Infinite: Ein neues Modell selbstsichernder Software

Aikido Infinite: Kontinuierliche KI-Penetrationstests für jedes Release

Persistentes XSS/RCE mittels WebSockets im Storybook-Entwicklungsserver

Persistentes XSS/RCE mittels WebSockets in Storybook (CVE-2026-27148)

Wie Aikido KI-Penetrationstest-Agenten konzeptbedingt absichert

Wie Aikido KI-Penetrationstest-Agenten absichert und Scope Drift verhindert

Astro SSRF mit vollständigem Lesezugriff durch Host-Header-Injection

Astro SSRF-Schwachstelle: Host-Header-Injection in SSR-Fehlerseiten (CVE-2026-25545)

Wie Sie Ihr Board dazu bringen, sich um Sicherheit zu kümmern (Bevor eine Sicherheitsverletzung das Thema erzwingt)

Wie Sie Ihren Vorstand für Sicherheit gewinnen – noch vor einem Vorfall

Anleitungen

Was ist Slopsquatting? Der bereits stattfindende Angriff durch AI-Paket-Halluzinationen

Slopsquatting: Der bereits stattfindende Angriff durch AI-Paket-Halluzinationen

AI-Modelle halluzinieren npm-Paketnamen. Angreifer registrieren sie zuerst. Hier erfahren Sie, was Slopsquatting ist, wie es sich über Agent Skills verbreitet und wie Sie sich schützen können.

Die Top 6 Wiz Code Alternativen

Wiz Code Alternativen (2026): 6 Tools im Vergleich und die beste Developer-First-Option

Suchen Sie nach Wiz Code Alternativen? Vergleichen Sie 6 Tools hinsichtlich SAST, DAST, SCA, Preisgestaltung und Entwickelnden-Experience, um die beste AppSec-Plattform für 2026 zu finden.

Aikido im Application Security Report 2026 von Latio Tech als Platform Leader ausgezeichnet

Aikido im Latio 2026 Report als AppSec Platform Leader benannt

Aikido Security im AppSec Report 2026 von Latio Tech als Platform Leader, KI-Penetrationstests-Innovator und Supply Chain Innovator ausgezeichnet.

Der AppSec Report 2026 von Latio Tech nennt Aikido einen Platform Leader und AI Innovator. Hier erfahren Sie, was der Bericht über die Zukunft der Anwendungssicherheit enthüllt.

Von der Erkennung zur Prävention: Wie Zen IDOR-Schwachstellen zur Laufzeit stoppt

Von der Erkennung zur Prävention: Zen stoppt IDOR zur Laufzeit | Aikido

npm-Backdoor ermöglicht Hackern die Manipulation von Glücksspielergebnissen

npm Supply-Chain-Angriff kapert Game-Backend zur Manipulation von Glücksspielergebnissen

Ein gezielter npm Supply-Chain-Angriff installiert eine Express-Backdoor, ermöglicht Remote-SQL-/Dateizugriff und schreibt Glücksspielguthaben um, während die Logs konsistent bleiben.

Wir haben bösartige npm-Pakete aufgedeckt, die Glücksspieltransaktionen in der Produktion modifizieren und die Datenbank anschließend intern konsistent halten können.

Warum der Versuch, OpenClaw zu sichern, lächerlich ist

Die Sicherheitsprobleme von OpenClaw erklärt: Malware in ClawHub, offengelegte Instanzen und warum Hardening-Anleitungen am Ziel vorbeigehen. Kann man den AI-Agenten sicher nutzen??

Einführung der Upgrade-Auswirkungsanalyse: Wann sind grundlegende Änderungen für Ihren Code tatsächlich von Bedeutung?

Analyse der Upgrade-Auswirkungen: Wenn Breaking Changes wirklich relevant sind | Aikido

Aikidos Upgrade Impact Analysis kennzeichnet Breaking Changes in Abhängigkeits-Updates und zeigt, ob diese Änderungen tatsächlich Ihren Code beeinflussen.

Claude Opus 4.6 fand 500 Schwachstellen. Was ändert das für die Software-Sicherheit?

Claude Opus 4.6 fand 500 Schwachstellen: Was das für die Softwaresicherheit bedeutet

Wir stellen vor: Aikido Expansion Packs: Sicherere Standardeinstellungen direkt in der IDE

Aikido Expansion Packs: Sicherere Standardeinstellungen direkt in der IDE

Internationaler KI-Sicherheitsbericht 2026: Was er für autonome KI-Systeme bedeutet

Internationaler KI-Sicherheitsbericht 2026: Analyse von Aikido Security

Selbstsichernde Software: Was es ist, warum es wichtig ist und wie es funktioniert

Was ist selbstsichernde Software? Ein neues Sicherheitsmodell für moderne Software

Sicherer SDLC für Entwicklungsteams (+ Checkliste)

Sicherer SDLC erklärt: Die 5 Säulen eines sicheren Softwareentwicklungs-Lebenszyklus

Erfahren Sie, was ein sicherer SDLC ist, warum er wichtig ist und die fünf Säulen, die jedes Team benötigt. Enthält eine praktische Secure SDLC-Checkliste für CTOs und Engineering-Leiter.

Top 10 KI-Sicherheitstools für 2026

Top 10 KI-Sicherheitstools für 2026: Funktionen, Vorteile und Vergleiche

Top 10 Cybersicherheitstools für 2026

Top 10 Cybersicherheitstools für 2026: Erkennung, Cloud, XDR & AppSec

Was ist kontinuierliches Penetrationstesten?

Was ist kontinuierliches Penetrationstesten? Wie moderne Teams das ausnutzbare Risiko reduzieren

npx-Verwirrung: Pakete, die vergessen haben, ihren eigenen Namen zu beanspruchen

Wir stellen vor: Aikido Package Health: Ein besserer Weg, Ihren Abhängigkeiten zu vertrauen

Aikido Package Health: Health Score für Open-Source-Pakete

Sehen Sie, wie stabil und gut gewartet ein Open-Source-Paket wirklich ist. Aikido Package Health hilft Entwicklern, sicherere Abhängigkeiten mit Vertrauen zu wählen.

KI-Penetrationstests: Mindestanforderungen an die Sicherheit für Sicherheitstests

Wann sind KI-Penetrationstests sicher? Mindestsicherheitsanforderungen für Sicherheitstests

Gefälschte Clawdbot VS Code Extension installiert ScreenConnect RAT

Eine bösartige VS Code Extension, die sich als Clawdbot ausgibt, installiert ScreenConnect RAT auf Entwickler-Maschinen.

Die Top 7 Bedrohungsaufklärungstools im Jahr 2026

Die Top 7 Bedrohungsaufklärungstools im Jahr 2026: Rauschen reduzieren und sich auf reale Risiken konzentrieren

Die Top 14 VS Code-Erweiterungen für 2026

Die Top 14 VS Code-Erweiterungen für 2026: Produktivität, Testen, Sicherheit und Zusammenarbeit

Ein praktischer Leitfaden zu den besten VS Code-Erweiterungen für 2026, der Produktivitäts-, Test-, Kollaborations- und Sicherheitstools abdeckt, die reale Entwickelnde-Workflows verbessern.

G_Wagon: npm-Paket setzt Python-Stealer ein, der über 100 Krypto-Wallets angreift

Das npm-Paket ansi-universal-ui liefert den GWagon Infostealer, der über 100 Krypto-Wallets, Browser-Zugangsdaten und Cloud-Schlüssel angreift. Wir haben alle 10 Versionen analysiert, während der Angreifer in Echtzeit iterierte.

Pentest GPT: Wie LLMs Penetrationstests neu gestalten

Pentest GPT: Wie KI Penetrationstests verändert

Erfahren Sie, wie Pentest GPT LLMs nutzt, um Angriffslogik zu automatisieren, reale Exploits zu simulieren und Tests zu skalieren. Sehen Sie, wie Aikido jede Erkenntnis validiert.

Phishing-Angriff: npm-Pakete, die Benutzerdefinierte Seiten zum Sammeln von Anmeldeinformationen bereitstellen

Eine gezielte Spear-Phishing-Kampagne nutzte npm-Pakete und jsDelivr als kostenlose Phishing-Infrastruktur und stellte pro Opfer angepasste Credential-Harvester bereit.

Bösartige PyPI-Pakete spellcheckpy und spellcheckerpy liefern Python RAT

Angreifer veröffentlichten gefälschte Spellchecker-Pakete auf PyPI mit offen sichtbarer Malware. Wir analysieren den Angriff und worauf Entwickelnde achten müssen.

SvelteSpill: Ein Cache-Deception-Bug in SvelteKit + Vercel

SvelteSpill: Kritischer Cache-Deception-Bug in SvelteKit + Vercel

SvelteSpill ist eine Cache-Deception-Schwachstelle, die standardmäßige SvelteKit-Anwendungen betrifft, die auf Vercel bereitgestellt werden. Authentifizierte Antworten können zwischengespeichert und über Benutzer hinweg offengelegt werden. Erfahren Sie, wie Sie prüfen können, ob Sie anfällig sind und wie Sie das Risiko mindern können.

Unser KI-Penetrationstestsystem entdeckte und reproduzierte eine hochkritische Schwachstelle in standardmäßigen SvelteKit-Bereitstellungen auf Vercel. So verfolgte es einen schichtenübergreifenden Fehler über 150.000 Zeilen Code hinweg.

Agent Skills verbreiten halluzinierte npx-Befehle

KI-Agentenfähigkeiten verbreiten halluzinierte npx-Befehle, wodurch echte Sicherheits- und Zuverlässigkeitsrisiken für Entwickelnde und Lieferketten entstehen.

Das Open-Source-Lizenzrisiko in moderner Software verstehen

Open-Source-Lizenzrisiko verbirgt sich in Abhängigkeiten und Container-Images. Erfahren Sie, was es ist, warum es wichtig ist und wie Sie Probleme frühzeitig erkennen können.

Open Source entwickelt sich schnell, aber seine Lizenzen haben immer noch Regeln. Dieser Artikel erklärt, was Open-Source-Lizenzrisiken sind, warum Teams diese in modernen Abhängigkeitsbäumen immer wieder übersehen und wie man konform bleibt, ohne dass es zu einer juristischen Notübung wird.

Die CISO Vibe Coding Checkliste für Sicherheit

CISO Vibe Coding Checkliste: Absicherung von KI-erstellten Anwendungen

Eine praktische Sicherheits-Checkliste für CISOs, die KI- und Vibe-Code-Anwendungen verwalten. Behandelt technische Leitplanken, KI-Kontrollen und organisatorische Richtlinien.

KI-gestütztes Vibe Coding ermöglicht es jedem, Software auszuliefern. Dieser Beitrag skizziert die Sicherheitsrisiken, denen CISOs gegenüberstehen, und stellt eine praktische Checkliste vor, die von CISOs bei Lovable und Supabase mitgestaltet wurde.

Von “No Bullsh*t Security” zu $1 Mrd.: Aikido holt über Series-B-Finanzierung über 60 Mio. $ ein

Aikido Security nimmt 60 Mio. $ bei einer Bewertung von 1 Mrd. $ auf

Aikido gibt eine Series-B-Finanzierung in Höhe von 60 Mio. $ bei einer Bewertung von 1 Mrd. $ bekannt und beschleunigt damit seine Vision von selbstsichernder Software und kontinuierlichem Penetration Testing.

Aikido wird zu einem der schnellsten Cybersicherheitsunternehmen, das weltweit den Unicorn-Status erreicht, und zum schnellsten überhaupt in Europa.

Kritische n8n-Schwachstelle ermöglicht nicht authentifizierte Remote Code Execution (CVE-2026-21858)

n8n kritische Schwachstelle (CVE-2026-21858) | Unerlaubte RCE erklärt

Eine kritische Schwachstelle in n8n (CVE-2026-21858) ermöglicht die unauthentifizierte Remote Code Execution auf selbst gehosteten Instanzen. Erfahren Sie, wer betroffen ist und wie Sie Abhilfe schaffen können.

KI-gesteuerter Pentest von Coolify: Sieben CVEs identifiziert

Sieben CVEs in Coolify durch KI-Penetrationstests identifiziert | Aikido

KI-gesteuerte Penetrationstests von Coolify identifizierten sieben CVEs, darunter Schwachstellen für Privilegieneskalation und Remote Code Execution. Die Ergebnisse wurden verantwortungsvoll offengelegt und behoben.

Aikido

JavaScript, MSBuild und die Blockchain: Anatomie des NeoShadow npm Supply-Chain-Angriffs

NeoShadow npm Supply-Chain-Angriff: JavaScript, MSBuild & Blockchain

Eine detaillierte technische Analyse des NeoShadow npm Supply-Chain-Angriffs, die aufzeigt, wie JavaScript-, MSBuild- und Blockchain-Techniken kombiniert wurden, um Entwickelnde zu kompromittieren.

SAST vs. SCA: Den Code sichern, den Sie schreiben, und den Code, von dem Sie abhängen

SAST vs. SCA erklärt: Sicherung Ihres Codes und Ihrer Abhängigkeiten

Erfahren Sie, wie sich SAST und SCA unterscheiden, welche Risiken jeder Ansatz adressiert und warum moderne AppSec-Teams beides benötigen, um Code und Abhängigkeiten zu sichern.

Technisches

Die 6 besten Tools für kontinuierliches Penetrationstesten im Jahr 2026

Entdecken Sie die führenden Tools für kontinuierliches Penetrationstesten, die Echtzeit-Sicherheitstests mit KI-Unterstützung für moderne Anwendungen bieten.

Wie Engineering- und Sicherheitsteams die technischen Anforderungen von DORA erfüllen können

DORA technische Anforderungen für Engineering- und Security-Teams

Verstehen Sie die technischen Anforderungen von DORA für Engineering- und Sicherheitsteams, einschließlich Resilienztests, Risikomanagement und prüfbereiter Nachweise.

Compliance

IDOR-Schwachstellen erklärt: Warum sie in modernen Anwendungen bestehen bleiben

IDOR-Schwachstelle erklärt: Warum unsichere direkte Objektverweise bestehen bleiben

Erfahren Sie, was eine IDOR-Schwachstelle ist, warum unsichere direkte Objektverweise in modernen APIs bestehen bleiben und warum traditionelle Testtools Schwierigkeiten haben, echte Autorisierungsfehler zu erkennen.

Shai Hulud schlägt wieder zu – Der goldene Pfad

Ein neuer Stamm von Shai Hulud wurde in freier Wildbahn beobachtet.

MongoBleed: MongoDB Zlib Schwachstelle (CVE-2025-14847) und wie man sie behebt

MongoBleed: MongoDB Zlib-Schwachstelle (CVE-2025-14847)

MongoBleed, verfolgt als CVE-2025-14847, ermöglicht eine nicht authentifizierte Offenlegung des Speichers in MongoDB über die zlib-Kompression. Siehe Auswirkungen und Behebung.

Erste hochentwickelte Malware auf Maven Central über Typosquatting-Angriff auf Jackson entdeckt

Maven Central Malware: Jackson Typosquatting liefert Cobalt Strike Payload

Wir haben die erste ausgeklügelte Malware-Kampagne auf Maven Central aufgedeckt: ein Typosquatting-Jackson-Paket, das mehrstufige Payloads und Cobalt Strike Beacons über die Spring Boot Auto-Ausführung liefert.

The Fork Awakens: Warum GitHubs unsichtbare Netzwerke die Paketsicherheit gefährden

Eine detaillierte Analyse einer GitHub-Sicherheitslücke, bei der geforkte Commits Angreifern ermöglichten, Abhängigkeiten zu fälschen. Verstehen Sie das Commit-SHA-Problem und warum Paketmanager API-Level-Schutz benötigen.

SAST in der IDE ist jetzt kostenlos: SAST dorthin verlagern, wo Entwicklung tatsächlich stattfindet

Kostenloses SAST-Scanning in Ihrer IDE

Führen Sie kostenlose SAST-Scans direkt in Ihrer IDE durch, mit Echtzeit-Feedback und projektweiter Sichtbarkeit. Nutzen Sie dieselben SAST-Regeln und -Engine wie Aikido, mit optionalem AutoFix für unterstützte Befunde.

KI-Penetrationstests in Aktion: Eine TL;DV-Zusammenfassung unserer Live-Demo

Aikido KI-Penetrationstests: Live-Demo-Rückblick & FAQ

Ein Rückblick auf die Live-Demo von Aikido KI-Penetrationstests. Erfahren Sie, wie autonome Agenten reale Anwendungen testen, Ergebnisse validieren, Berichte erstellen und erneute Tests ermöglichen.

Anleitungen

Top 7 Cloud-Sicherheits-Schwachstellen

Die 7 größten Cloud-Sicherheitslücken und wie man sie verhindert

Entdecken Sie die sieben größten Cloud-Sicherheitslücken, die moderne Umgebungen betreffen. Erfahren Sie, wie Angreifer IMDS, Kubernetes, Fehlkonfigurationen und mehr ausnutzen, und erkunden Sie Strategien, um Ihre Cloud-Infrastruktur effektiv zu schützen.

Wie man die UK Cybersecurity & Resilience Bill einhält: Ein praktischer Leitfaden für moderne Engineering-Teams

Einhaltung des UK Cybersecurity & Resilience Bill | Sicherheitsleitfaden

Erfahren Sie, wie Sie die Anforderungen des UK Cybersecurity & Resilience Bill erfüllen, von Secure-by-Design-Praktiken über SBOM-Transparenz und Sicherheit der Lieferkette bis hin zu kontinuierlicher Compliance.

Compliance

React & Next.js DoS-Schwachstelle (CVE-2025-55184): Was Sie nach React2Shell beheben müssen

React & Next.js DoS-Schwachstelle (CVE-2025-55184) erklärt

CVE-2025-55184 ist eine DoS-Schwachstelle in React Server Components, die mit React2Shell zusammenhängt. Erfahren Sie, wer betroffen ist, wie es funktioniert und wie Sie es vollständig patchen können.

Die Top-Schwachstellen in der Sicherheit der Software-Lieferkette erklärt

Schwachstellen in der Sicherheit der Software-Lieferkette

Verstehen Sie die größten Schwachstellen in der Sicherheit der Software-Lieferkette, von bösartigen Paketen bis hin zu Dependency-Confusion-Angriffen.

Top 10 JavaScript-Sicherheitslücken in modernen Web-Apps

JavaScript-Sicherheitsschwachstellen | Die größten Risiken

Erfahren Sie mehr über die häufigsten JavaScript-Sicherheitsschwachstellen, die Frontend- und Backend-Anwendungen betreffen, einschließlich realer Angriffsvektoren.

Die 10 häufigsten Python-Sicherheitsschwachstellen, die Entwickelnde vermeiden sollten

Python-Sicherheitsschwachstellen | Häufige Probleme

Ein praktischer Überblick über die häufigsten Python-Sicherheitsschwachstellen, unsichere Muster und abhängigkeitsbezogene Risiken.

Die 10 häufigsten Code-Sicherheitsschwachstellen in modernen Anwendungen

Code-Sicherheitsschwachstellen | Häufige Risiken

Entdecken Sie die häufigsten Code-Sicherheitsschwachstellen, die Entwickelnde einführen, warum sie auftreten und wie Teams sie früher erkennen können.

Top 9 Kubernetes-Sicherheitslücken und Fehlkonfigurationen

Kubernetes-Sicherheitslücken | Top-Risiken

Erfahren Sie mehr über die kritischsten Kubernetes-Sicherheitslücken, häufige Fehlkonfigurationen und warum Cluster oft standardmäßig exponiert sind.

Top 10 Schwachstellen in der Webanwendungssicherheit, die jedes Team kennen sollte

Schwachstellen in der Webanwendungssicherheit | Top-Risiken

Entdecken Sie die häufigsten Schwachstellen in der Webanwendungssicherheit, Beispiele aus der Praxis und wie moderne Teams Risiken frühzeitig reduzieren können.

OWASP Top 10 für agentenbasierte Anwendungen (2026): Was Entwickelnde und Sicherheitsteams wissen müssen

OWASP Top 10 für Agentic Applications (2026): Umfassender Leitfaden zu KI-Agenten-Sicherheitsrisiken

Erfahren Sie mehr über die OWASP Top 10 für Agentic Applications. Verstehen Sie die größten KI-Agenten-Sicherheitsrisiken, Beispiele aus der Praxis und wie Sie Ihre Umgebung härten können.

DAST vs. Pentesting vs. KI-Penetrationstests: Warum DAST moderne Penetrationstests nicht ersetzen kann

DAST vs. Pentesting vs. KI-Penetrationstests: Die wichtigsten Unterschiede erklärt

Vergleichen Sie DAST, manuelle Penetrationstests und KI-Penetrationstests. Erfahren Sie, wo jeder Ansatz funktioniert, wo DAST Mängel aufweist und wie KI-Penetrationstests tiefere, kontinuierliche Tests moderner Anwendungen ermöglichen.

Secrets detection: Ein praktischer Leitfaden zum Auffinden und Verhindern geleakter Anmeldeinformationen

Leitfaden zur Erkennung von Secrets: Leaks finden und verhindern

Erfahren Sie, wie Secrets Detection funktioniert, was als Secret gilt (API-Schlüssel, Tokens, Zugangsdaten), wo Teams sie preisgeben und wie die Offenlegung in Git, CI und Produktion verhindert werden kann.

Was ist CSPM (und CNAPP)? Cloud Security Posture Management erklärt

CSPM vs. CNAPP: Cloud-Posture erklärt

Eine klare Aufschlüsselung von CSPM und CNAPP: Was sie abdecken, wie sie Cloud-Risiken reduzieren, welche wichtigen Funktionen zu beachten sind und wie Teams sie tatsächlich implementieren.

Erkennung und Prävention von Malware in modernen Software-Supply-Chains

Verhinderung von Malware in der Software-Lieferkette (Leitfaden)

Erfahren Sie, wie Supply-Chain-Malware in modernen Codebasen landet (Typosquatting, Dependency Confusion, bösartige Updates) und welche Abwehrmechanismen sie frühzeitig in CI/CD stoppen.

Was ist IaC Security Scanning? Terraform, Kubernetes & Cloud-Fehlkonfigurationen erklärt

IaC-Sicherheitsscanning für Terraform & Kubernetes

Verstehen Sie IaC-Security-Scanning: wie es Cloud-Fehlkonfigurationen in Terraform/Kubernetes erkennt, was zu priorisieren ist und wie riskante Änderungen vor dem Deploy verhindert werden können.

Der ultimative SAST-Leitfaden: Was sind Statische Anwendungssicherheitstests?

Ultimativer SAST-Leitfaden: Statische Anwendungssicherheitstests

Eine praktische SAST-Erläuterung: Wie Statische Anwendungssicherheitstests funktionieren, welche Probleme sie finden, häufige Fallstricke und wie man sie einführt, ohne Entwickelnde mit unnötigem Rauschen zu überfluten.

Lieferketten-Sicherheit: Der ultimative Leitfaden zu Software-Kompositionsanalyse (SCA) Tools

Leitfaden zur Sicherheit der Lieferkette: Die besten SCA-Tools

Erfahren Sie, was SCA-Tools leisten, was sie erkennen (anfällige Abhängigkeiten, Lizenzen, Malware) und wie Sie die richtige Software-Kompositionsanalyse-Lösung für Ihren Stack auswählen.

Kritische React- & Next.js-RCE-Schwachstelle (CVE-2025-55182): Was Sie jetzt beheben müssen

Kritische React- & Next.js-RCE-Schwachstelle CVE-2025-55182: Behebungsleitfaden

Erfahren Sie, wie CVE-2025-55182 und die damit verbundene Next.js-RCE React Server Components betreffen. Sehen Sie Auswirkungen, betroffene Versionen und wie man sie behebt. Aikido erkennt jetzt beide Probleme.

PromptPwnd: Prompt-Injection-Schwachstellen in GitHub Actions unter Verwendung von AI Agents

Prompt Injection in GitHub Actions: Die neue Grenze der Lieferkettenangriffe

AI-gesteuerte GitHub Actions decken neue Prompt-Injection Supply-Chain-Schwachstellen auf.

Shai Hulud 2.0: Was der unbekannte Wanderer uns über das Endspiel der Angreifer verrät

Shai Hulud 2.0: Was der unbekannte Wanderer über das Endspiel der Angreifer enthüllt

Neue Forschung zur Shai Hulud 2.0 Malware deutet darauf hin, dass der Benutzername UnknownWonderer1 mehr über das Endziel der Angreifer verrät.

SCA Everywhere: Open-Source-Abhängigkeiten in Ihrer IDE scannen und beheben

SCA in der IDE: Anfällige Abhängigkeiten mit AutoFix scannen und beheben

Integrieren Sie den vollständigen SCA-Workflow in Ihre IDE mit In-Editor-Scanning und AutoFix. Erkennen Sie anfällige Pakete, überprüfen Sie CVEs und wenden Sie sichere Upgrades an, ohne Ihren Entwicklungs-Workflow zu verlassen.

Safe Chain erzwingt jetzt ein Mindestalter für Pakete vor der Installation

SafeChain erzwingt jetzt ein Mindestalter von 24 Stunden für Pakete, um sicherere Installationen zu gewährleisten

Safe Chain erzwingt jetzt ein Mindestalter von 24 Stunden für Pakete, um Angreifer daran zu hindern, neue Releases als Einstiegspunkt zu nutzen. Blockiert Malware frühzeitig und greift auf sichere Versionen zurück.

Cloud-Sicherheit Tools erklärt: Wichtige Funktionen & Bewertungstipps

Cloud-Sicherheitstools: Funktionen & Auswahlkriterien

Entdecken Sie die wesentlichen Funktionen von Cloud-Sicherheitstools und erfahren Sie, wie Sie Anbieter vergleichen, um Ihre Cloud-Umgebungen zu schützen.

ASPM-Tools: Wesentliche Funktionen & Wie man Anbieter bewertet

ASPM-Tools: Funktionen & Bewertungsleitfaden

Erhalten Sie einen Überblick über Application Security Posture Management (ASPM)-Tools, deren Hauptfunktionen und die Kriterien für die Auswahl der richtigen ASPM-Plattform.

DAST-Tools: Funktionen, Fähigkeiten & wie man sie bewertet

DAST-Tools: Hauptfunktionen & Einkaufsleitfaden

Erfahren Sie, wie DAST-Tools funktionieren, welche ihre wichtigsten Funktionen sind und welche Bewertungskriterien bei der Auswahl einer dynamischen Testlösung zu berücksichtigen sind.

SAST-Tools: Kernfunktionen & wie man die beste SAST-Lösung auswählt

SAST-Tools: Funktionen & Bewertungsleitfaden

Erfahren Sie die wichtigsten Funktionen von Statische Anwendungssicherheitstests-Tools und worauf Sie bei der Auswahl der idealen SAST-Lösung für Ihren Workflow achten sollten.

Top JavaScript Sicherheitstools

Beste JavaScript-Sicherheitstools für Web- & Node.js-Anwendungen

Vergleichen Sie die besten JavaScript-Sicherheitstools, um npm-Pakete zu scannen, Schwachstellen zu erkennen und Front-End- sowie Node.js-Anwendungen zu sichern.

Vielen Dank! Ihre Einreichung wurde empfangen!

Hoppla! Beim Absenden des Formulars ist etwas schiefgelaufen.

12. Juli 2023

„•“

Schwachstellen & Bedrohungen

Was ist der OWASP Top 10?

Die OWASP Top 10 dient als wichtige Checkliste, die die kritischsten Webanwendungs-Security-Risiken identifiziert und Entwickelnde bei der Minderung dieser Vulnerabilitäten anleitet. Durch die Einhaltung der OWASP Top 10 schützen Sie nicht nur sensible Daten, sondern fördern auch eine Kultur des Sicherheitsbewusstseins, die sicherstellt, dass Ihre Anwendung angesichts neuer Bedrohungen widerstandsfähig bleibt.

Tags/

#OWASP

#Schwachstellen

11. Juli 2023

„•“

Leitfäden & Best Practices

Wie man ein sicheres Admin-Panel für seine SaaS-App erstellt

Vermeiden Sie häufige Fehler beim Erstellen eines SaaS-Admin-Panels. Wir skizzieren einige Fallstricke und potenzielle Lösungen speziell für SaaS-Entwickler!

Tags/

Keine Elemente gefunden.

5. Juli 2023

„•“

Anleitungen

Wie man sich auf ISO 27001:2022 vorbereitet

ISO 27001:2022 ersetzt ISO 27001:2013. Aikido hilft Ihnen, die neuen Security Controls schnell einzuhalten, damit Sie und Ihre Kunden nachts ruhig schlafen können. Dieser Blogbeitrag führt Sie durch die neuen Anforderungen und zeigt, wie Aikido Sie dabei unterstützt.

Tags/

Keine Elemente gefunden.

19. Juni 2023

„•“

Anleitungen

Folgen eines Hacks Ihrer CI/CD-Plattform verhindern

CI/CD ist ein Hauptziel für Hacker, ergreifen Sie daher Maßnahmen, um negative Folgen zu verhindern. Aikido Security identifiziert, ob Ihre Cloud Ihre CI/CD aktiv verteidigt.

Tags/

#AWS

#Codeship

#Cloud

#CircleCI

12. Juni 2023

„•“

Leitfäden & Best Practices

Wie man mit einem Security Assessment Report schneller Deals abschließt

Tags/

#AppSec

#DevSecOps

5. Juni 2023

„•“

Anleitungen

Technisches Schwachstellenmanagement automatisieren [SOC 2]

Wie man compliant wird, ohne dem Entwickelnden-Team eine hohe Arbeitslast aufzuerlegen

Tags/

Keine Elemente gefunden.

1. Juni 2023

„•“

Leitfäden & Best Practices

Prototype Pollution in Ihrem Repository verhindern

Tags/

#AppSec

16. Mai 2023

„•“

Anleitungen

Wie balanciert ein SaaS-Startup-CTO Entwicklungsgeschwindigkeit und Sicherheit?

Tags/

Keine Elemente gefunden.

10. April 2023

„•“

Engineering

Wie die Cloud eines Startups durch ein einfaches Formular, das E-Mails versendet, übernommen wurde

Wie die Cloud eines Startups durch ein einfaches Formular, das eine E-Mail versendet, übernommen wurde

Tags/

#AWS

#SSRF

#IMDSv1

#Cloud

#IMDSv2

19. Januar 2023

„•“

Produkt- & Unternehmens-Updates

Aikido Security erhält 2 Millionen Euro Pre-Seed-Finanzierung, um eine Developer-First Software-Sicherheitsplattform aufzubauen

Das belgische SaaS-Startup Aikido Security hat 2 Millionen Euro Pre-Seed-Finanzierung von renommierten Angel-Investoren erhalten, die seine Mission unterstützen, Software-Sicherheit für Entwickelnde zu vereinfachen.

Tags/

#AppSec

#Schwachstellen

„•“

Leitfäden & Best Practices

6 Best Practices für Pull Requests für Entwickelnde

Tags/

#Code-Qualität

#AppSec

24. März 2026

„•“

Produkt- & Unternehmens-Updates

Aikido × Lovable: Vibe, Fix, Ship

Lovable und Aikido integrieren Pentesting in die Plattform, sodass Entwickler reale Angriffe simulieren und Probleme beheben können, bevor die Software ausgeliefert wird.

Ankündigungen

AI Penetration Testing

12. März 2026

„•“

Produkt- & Unternehmens-Updates

Wir stellen Betterleaks vor, einen Open-Source Secrets-Scanner vom Autor von Gitleaks

26. Februar 2026

„•“

Produkt- & Unternehmens-Updates

Vorstellung von Aikido Infinite: Ein neues Modell selbstsichernder Software

AI Penetration Testing

Ankündigungen

Selbstsichernde Software

8. April 2026

„•“

Schwachstellen & Bedrohungen

GlassWorm wird nativ: Neuer Zig-Dropper infiziert jede IDE auf Ihrem System

GlassWorm setzt einen Zig-basierten nativen Dropper ein, der in einer gefälschten Erweiterung versteckt ist, und kompromittiert stillschweigend VS Code, Cursor, VSCodium und andere IDEs.

Malware

27. März 2026

„•“

Schwachstellen & Bedrohungen

Beliebtes Telnyx-Paket auf PyPI von TeamPCP kompromittiert

Das beliebte Telnyx-Paket auf PyPI, das von großen KI-Unternehmen genutzt wird, wurde von TeamPCP kompromittiert

Malware

Pypi

22. März 2026

„•“

Schwachstellen & Bedrohungen

CanisterWorm bekommt Zähne: TeamPCPs Kubernetes Wiper zielt auf Iran ab

NPM

Malware

19. August 2025

„•“

DevSec-Tools & Vergleiche

Top 12 Dynamische Anwendungssicherheitstests (DAST) Tools im Jahr 2026

Entdecken Sie die 12 besten Tools für Dynamische Anwendungssicherheitstests (DAST) im Jahr 2026. Vergleichen Sie Funktionen, Vor- und Nachteile sowie Integrationen, um die richtige DAST-Lösung für Ihre DevSecOps-Pipeline zu wählen.

Tools

DAST

18. Juli 2025

„•“

DevSec-Tools & Vergleiche

Top 13 Container Scanning Tools im Jahr 2026

Entdecken Sie die 13 besten Container-Scanning-Tools im Jahr 2026. Vergleichen Sie Funktionen, Vor- und Nachteile sowie Integrationen, um die richtige Lösung für Ihre DevSecOps-Pipeline zu wählen.

Tools

Container-Scanning

17. Juli 2025

„•“

DevSec-Tools & Vergleiche

Die 10 besten Tools für Software-Kompositionsanalyse (SCA) im Jahr 2026

SCA-Tools sind unsere beste Verteidigungslinie für Open-Source-Sicherheit. Dieser Artikel untersucht die 10 besten Open-Source-Dependency-Scanner für 2026.

Tools

SCA