Aikido
Kostenlos starten
Ohne Kreditkarte

Willkommen in unserem Blog.

Vorgestellt
Vorstellung von Aikido Infinite: Ein neues Modell selbstsichernder Software
Aikido Infinite: Kontinuierliche KI-Penetrationstests für jedes Release
Aikido Infinite führt KI-Penetrationstests bei jeder Code-Änderung durch, validiert die Ausnutzbarkeit, generiert Patches und testet Korrekturen erneut, bevor der Code in Produktion geht, wodurch selbstsichernde Software Realität wird.
Produkt- & Unternehmens-Updates
Madeline Lawrence
Persistentes XSS/RCE mittels WebSockets im Storybook-Entwicklungsserver
Persistentes XSS/RCE mittels WebSockets in Storybook (CVE-2026-27148)
CVE-2026-27148 legt eine WebSocket-Hijacking-Schwachstelle in Storybook offen, die zu einer Kompromittierung der Lieferkette eskalieren kann. Erfahren Sie mehr über den Angriffspfad, die Auswirkungen und wie Sie Abhilfe schaffen können.
Aikido Attack entdeckte eine WebSocket-Hijacking-Schwachstelle im Dev-Server von Storybook, die zu persistentem XSS, Remote Code Execution und im schlimmsten Fall zu einer Kompromittierung der Lieferkette führen kann. Wir erklären, wie ein Angreifer dies ohne jegliche Benutzerinteraktion ausnutzen kann und wie ein Entwickelnde nur die falsche Website besuchen muss, um diesem Angriff zum Opfer zu fallen.
Schwachstellen & Bedrohungen
Robbe Verwilghen
Wie Aikido KI-Penetrationstest-Agenten konzeptbedingt absichert
Wie Aikido KI-Penetrationstest-Agenten absichert und Scope Drift verhindert
Erfahren Sie, wie Aikido KI-Penetrationstest-Agenten durch architektonische Isolation, Laufzeit-Scope-Erzwingung und netzwerkbasierte Kontrollen absichert, um Production Drift und Datenlecks zu verhindern.
KI-Agenten sind darauf ausgelegt, zu explorieren. In der Cybersicherheit benötigt diese Exploration strenge Grenzen. Dieser Artikel erklärt, wie Aikido KI-Penetrationstest-Agenten durch architektonische Isolation, Laufzeit-Scope-Erzwingung und geschichtete Kontrollen absichert, die Risiken konzeptbedingt eindämmen.
Produkt- & Unternehmens-Updates
Sooraj Shah
Astro SSRF mit vollständigem Lesezugriff durch Host-Header-Injection
Astro SSRF-Schwachstelle: Host-Header-Injection in SSR-Fehlerseiten (CVE-2026-25545)
Der KI-Penetrationstests-Agent von Aikido Security entdeckte eine Server-Side Request Forgery (SSRF)-Schwachstelle in Astros SSR-Implementierung. Erfahren Sie, wie die Host-Header-Injection in vorgerenderten Fehlerseiten vollen internen Netzwerkzugriff ermöglichte.
Aikidos KI-Penetrationstest-Agent entdeckte eine SSRF-Schwachstelle in Astros Node.js-Adapter. Wir werden untersuchen, wie Angreifer durch das Einschleusen eines bösartigen Host:-Headers eine interne Anfrage auf jede beliebige URL im lokalen Netzwerk umleiten könnten.
Schwachstellen & Bedrohungen
Jorian Woltjer
Wie Sie Ihr Board dazu bringen, sich um Sicherheit zu kümmern (Bevor eine Sicherheitsverletzung das Thema erzwingt)
Wie Sie Ihren Vorstand für Sicherheit gewinnen – noch vor einem Vorfall
Vorstände finanzieren Sicherheit nicht, weil sie wichtig ist. Sie finanzieren vertretbare Entscheidungen. Erfahren Sie hier, wie Sie Risiken einordnen, Unklarheiten reduzieren und echte Unterstützung gewinnen, bevor ein Vorfall die Angelegenheit erzwingt.
Anleitungen
Mike Wilkes
Was ist Slopsquatting? Der bereits stattfindende Angriff durch AI-Paket-Halluzinationen
Slopsquatting: Der bereits stattfindende Angriff durch AI-Paket-Halluzinationen
AI-Modelle halluzinieren npm-Paketnamen. Angreifer registrieren sie zuerst. Hier erfahren Sie, was Slopsquatting ist, wie es sich über Agent Skills verbreitet und wie Sie sich schützen können.
AI-Modelle halluzinieren Paketnamen – und Angreifer registrieren sie, bevor es jemand bemerkt. Slopsquatting ist die AI-Ära-Evolution von Typosquatting, und im Gegensatz zu seinem Vorgänger funktionieren die bestehenden Schutzmechanismen von npm nicht. Wir betrachten die reale Forschung, die zeigt, dass dies bereits geschieht, von bestätigten bösartigen Paketen, die immer noch Hunderte von wöchentlichen Downloads verzeichnen, bis hin zu einem halluzinierten Paketnamen, der sich über AI-Agent-Skill-Dateien auf 237 Repositories verbreitete.
Leitfäden & Best Practices
Dania Durnas
Die Top 6 Wiz Code Alternativen
Wiz Code Alternativen (2026): 6 Tools im Vergleich und die beste Developer-First-Option
Suchen Sie nach Wiz Code Alternativen? Vergleichen Sie 6 Tools hinsichtlich SAST, DAST, SCA, Preisgestaltung und Entwickelnden-Experience, um die beste AppSec-Plattform für 2026 zu finden.
Dieser Leitfaden vergleicht Wiz Code mit sechs Alternativen: Aikido Security, Snyk, Checkmarx, GitHub Advanced Security, Mend und Veracode, bewertet nach Abdeckung, Developer Experience, KI-gestütztem Triage, Preistransparenz und Bereitstellungsgeschwindigkeit. Aikido Security ist die beste Wahl für Teams, die eine Developer-First-Plattform mit breiter Abdeckung, 85% False Positive Reduktion, KI-AutoFix über SAST, IaC und Container hinweg, nativem DAST und transparenter Preisgestaltung zu etwa einem Zehntel der Kosten von Wiz wünschen.
Leitfäden & Best Practices
Dania Durnas
Aikido im Application Security Report 2026 von Latio Tech als Platform Leader ausgezeichnet
Aikido im Latio 2026 Report als AppSec Platform Leader benannt
Aikido Security im AppSec Report 2026 von Latio Tech als Platform Leader, KI-Penetrationstests-Innovator und Supply Chain Innovator ausgezeichnet.
Der AppSec Report 2026 von Latio Tech nennt Aikido einen Platform Leader und AI Innovator. Hier erfahren Sie, was der Bericht über die Zukunft der Anwendungssicherheit enthüllt.
Neuigkeiten
Sooraj Shah
Von der Erkennung zur Prävention: Wie Zen IDOR-Schwachstellen zur Laufzeit stoppt
Von der Erkennung zur Prävention: Zen stoppt IDOR zur Laufzeit | Aikido
IDOR-Schwachstellen sind eine der häufigsten Ursachen für mandantenübergreifende Datenlecks in Multi-Tenant-SaaS-Umgebungen. Erfahren Sie, wie Zen die Mandantenisolation zur Laufzeit durchsetzt, indem es SQL-Abfragen analysiert und unsicheren Zugriff verhindert, bevor er ausgeliefert wird.
IDOR-Schwachstellen sind eine Hauptursache für mandantenübergreifende Datenlecks in Multi-Tenant-Anwendungen. In diesem Beitrag erklären wir, wie Zen über die Erkennung hinausgeht und die Mandantenisolation zur Laufzeit erzwingt, wodurch mandantenübergreifender Zugriff versehentlich nicht mehr ausgeliefert werden kann.
Produkt- & Unternehmens-Updates
Hans Ott
npm-Backdoor ermöglicht Hackern die Manipulation von Glücksspielergebnissen
npm Supply-Chain-Angriff kapert Game-Backend zur Manipulation von Glücksspielergebnissen
Ein gezielter npm Supply-Chain-Angriff installiert eine Express-Backdoor, ermöglicht Remote-SQL-/Dateizugriff und schreibt Glücksspielguthaben um, während die Logs konsistent bleiben.
Wir haben bösartige npm-Pakete aufgedeckt, die Glücksspieltransaktionen in der Produktion modifizieren und die Datenbank anschließend intern konsistent halten können.
Schwachstellen & Bedrohungen
Ilyas Makari
Warum der Versuch, OpenClaw zu sichern, lächerlich ist
Warum der Versuch, OpenClaw zu sichern, lächerlich ist
Die Sicherheitsprobleme von OpenClaw erklärt: Malware in ClawHub, offengelegte Instanzen und warum Hardening-Anleitungen am Ziel vorbeigehen. Kann man den AI-Agenten sicher nutzen??
Neuigkeiten
Dania Durnas
Einführung der Upgrade-Auswirkungsanalyse: Wann sind grundlegende Änderungen für Ihren Code tatsächlich von Bedeutung?
Analyse der Upgrade-Auswirkungen: Wenn Breaking Changes wirklich relevant sind | Aikido
Aikido erkennt automatisch Breaking Changes bei Dependency-Upgrades und analysiert Ihre Codebasis, um die tatsächlichen Auswirkungen aufzuzeigen, sodass Teams Sicherheits-Fixes sicher mergen können.
Aikidos Upgrade Impact Analysis kennzeichnet Breaking Changes in Abhängigkeits-Updates und zeigt, ob diese Änderungen tatsächlich Ihren Code beeinflussen.
Produkt- & Unternehmens-Updates
Sooraj Shah
Claude Opus 4.6 fand 500 Schwachstellen. Was ändert das für die Software-Sicherheit?
Claude Opus 4.6 fand 500 Schwachstellen: Was das für die Softwaresicherheit bedeutet
Anthropic behauptet, Claude Opus 4.6 habe über 500 hochkritische Schwachstellen in Open Source aufgedeckt. Hier erfahren Sie, was das für die Schwachstellenfindung, die Validierung der Ausnutzbarkeit und die Sicherheitsprozesse in der Produktion bedeutet.
Claude Opus 4.6 hat Berichten zufolge über 500 hochkritische Schwachstellen in Open Source gefunden. Dieser Artikel untersucht, was sich dadurch in der Produktion tatsächlich ändert, wo LLM-Reasoning hilfreich ist und warum Validierung und Erreichbarkeitsanalyse immer noch den tatsächlichen Sicherheitsimpact bestimmen.
Neuigkeiten
Sooraj Shah
Wir stellen vor: Aikido Expansion Packs: Sicherere Standardeinstellungen direkt in der IDE
Aikido Expansion Packs: Sicherere Standardeinstellungen direkt in der IDE
Aikido Expansion Packs fügen gezielte Sicherheitskontrollen direkt in Ihre IDE ein. Aktivieren Sie Secrets-Schutz, Supply-Chain-Malware-Prüfungen und KI-gestützte Codesicherheit, ohne die Workflows der Entwickelnden zu ändern.
Produkt- & Unternehmens-Updates
Trusha Sharma
Internationaler KI-Sicherheitsbericht 2026: Was er für autonome KI-Systeme bedeutet
Internationaler KI-Sicherheitsbericht 2026: Analyse von Aikido Security
Die Analyse von Aikido Security zum Internationalen KI-Sicherheitsbericht 2026. Wir untersuchen Kontrollen zur Bereitstellungszeit, Validierungsanforderungen und praktische Sicherheitsgrundlagen für autonome KI-Systeme.
Über 100 Experten haben zum Internationalen KI-Sicherheitsbericht 2026 beigetragen, der Risiken autonomer KI-Systeme dokumentiert und Defense-in-Depth-Frameworks vorschlägt. Als Team, das KI-Penetrationstests-Systeme in Produktion betreibt, analysieren wir, wo der Bericht richtig liegt und wo er mehr technische Spezifität benötigt.
Neuigkeiten
Dania Durnas
Selbstsichernde Software: Was es ist, warum es wichtig ist und wie es funktioniert
Was ist selbstsichernde Software? Ein neues Sicherheitsmodell für moderne Software
Selbstsichernde Software ist ein Sicherheitsmodell, bei dem Systeme kontinuierlich reale Risiken validieren und beheben, während sie sich ändern. Erfahren Sie, warum periodische Tests nicht mehr skalieren.
Selbstsichernde Software betrachtet Sicherheit als eine integrierte Systemfähigkeit, nicht als einen periodischen Prozess. Dieser Artikel erklärt, warum moderne Software ein neues Sicherheitsmodell erfordert und was es heute möglich macht.
Produkt- & Unternehmens-Updates
Sooraj Shah
Sicherer SDLC für Entwicklungsteams (+ Checkliste)
Sicherer SDLC erklärt: Die 5 Säulen eines sicheren Softwareentwicklungs-Lebenszyklus
Erfahren Sie, was ein sicherer SDLC ist, warum er wichtig ist und die fünf Säulen, die jedes Team benötigt. Enthält eine praktische Secure SDLC-Checkliste für CTOs und Engineering-Leiter.
Leitfäden & Best Practices
Divine Odazie
Top 10 KI-Sicherheitstools für 2026
Top 10 KI-Sicherheitstools für 2026: Funktionen, Vorteile und Vergleiche
Entdecken Sie die besten KI-Sicherheitstools für 2026. Vergleichen Sie Plattformen für KI-Code-Reviews, Schwachstellenerkennung, Penetrationstests und Risikomanagement, um moderne Anwendungen zu sichern.
DevSec-Tools & Vergleiche
Divine Odazie
Top 10 Cybersicherheitstools für 2026
Top 10 Cybersicherheitstools für 2026: Erkennung, Cloud, XDR & AppSec
Eine praktische Übersicht der Top 10 Cybersicherheitstools für 2026, die Endpoint, Cloud, Identität, Schwachstellenmanagement und XDR abdecken. Erfahren Sie, wie Sie das richtige Tool für Ihren Stack und Ihr Risikoprofil auswählen.
DevSec-Tools & Vergleiche
Divine Odazie
Was ist kontinuierliches Penetrationstesten?
Was ist kontinuierliches Penetrationstesten? Wie moderne Teams das ausnutzbare Risiko reduzieren
Kontinuierliches Penetrationstesten testet automatisch reale Angriffspfade jedes Mal, wenn sich Software ändert, wobei Probleme als Teil des Entwicklungszyklus validiert und behoben werden. Erfahren Sie, wie es sich im Vergleich zu AI- und manuellem Penetrationstesten verhält.
Kontinuierliches Penetrationstesten betrachtet Sicherheit als ein lebendiges System, nicht als einen einmaligen Test. Erfahren Sie, wie moderne Teams es nutzen, um das ausnutzbare Risiko bei Softwareänderungen zu reduzieren.
Leitfäden & Best Practices
Sooraj Shah
npx-Verwirrung: Pakete, die vergessen haben, ihren eigenen Namen zu beanspruchen
npx-Verwirrung: Pakete, die vergessen haben, ihren eigenen Namen zu beanspruchen
Wir haben 128 nicht beanspruchte npm-Paketnamen registriert, die offizielle Dokumentationen Entwickelnden zur npx-Ausführung empfahlen. Sieben Monate später: 121.000 Downloads. Alle hätten beliebigen Code ausgeführt.
Offizielle Dokumentationen weisen Entwickelnde an, `npx package-name` auszuführen. Doch was, wenn niemand diesen Namen beansprucht hat? Wir haben 128 davon registriert und beobachtet. 121.000 Downloads in sieben Monaten. Der Feiertagsrückgang beweist, dass es sich um echte Entwickelnde und nicht um Bots handelt.
Schwachstellen & Bedrohungen
Charlie Eriksen
Wir stellen vor: Aikido Package Health: Ein besserer Weg, Ihren Abhängigkeiten zu vertrauen
Aikido Package Health: Health Score für Open-Source-Pakete
Sehen Sie, wie stabil und gut gewartet ein Open-Source-Paket wirklich ist. Aikido Package Health hilft Entwicklern, sicherere Abhängigkeiten mit Vertrauen zu wählen.
Produkt- & Unternehmens-Updates
Trusha Sharma
KI-Penetrationstests: Mindestanforderungen an die Sicherheit für Sicherheitstests
Wann sind KI-Penetrationstests sicher? Mindestsicherheitsanforderungen für Sicherheitstests
KI-Penetrationstest-Systeme agieren autonom in Live-Umgebungen. Erfahren Sie, wann KI-Penetrationstests sicher eingesetzt werden können, welche minimalen technischen Schutzmaßnahmen erforderlich sind und wie man KI-Sicherheitstest-Tools verantwortungsvoll bewertet.
KI-Penetrationstests sind bereits Realität, aber klare Sicherheitserwartungen fehlen noch. Dieser Artikel definiert einen Mindestsicherheitsstandard für KI-Penetrationstests und bietet Teams eine konkrete Grundlage zur Bewertung neuer Tools.
Leitfäden & Best Practices
Sooraj Shah
Gefälschte Clawdbot VS Code Extension installiert ScreenConnect RAT
Gefälschte Clawdbot VS Code Extension installiert ScreenConnect RAT
Eine bösartige VS Code Extension, die sich als Clawdbot ausgibt, installiert ScreenConnect RAT auf Entwickler-Maschinen.
Eine bösartige VS Code Extension, die sich als Clawdbot ausgibt, installiert ScreenConnect RAT auf Entwickler-Maschinen.
Schwachstellen & Bedrohungen
Charlie Eriksen
Die Top 7 Bedrohungsaufklärungstools im Jahr 2026
Die Top 7 Bedrohungsaufklärungstools im Jahr 2026: Rauschen reduzieren und sich auf reale Risiken konzentrieren
Ein tiefer Einblick in die Top Bedrohungsaufklärungstools des Jahres 2026, der vergleicht, wie sie Alert Fatigue reduzieren, Kontext hinzufügen und Teams helfen, reale Sicherheitsrisiken zu priorisieren.
DevSec-Tools & Vergleiche
Divine Odazie
Vielen Dank! Ihre Einreichung wurde empfangen!
Hoppla! Beim Absenden des Formulars ist etwas schiefgelaufen.
8. April 2026
„•“
Schwachstellen & Bedrohungen

GlassWorm wird nativ: Der neue Zig-Dropper befällt jede IDE auf Ihrem Rechner

GlassWorm setzt einen auf Zig basierenden nativen Dropper ein, der in einer gefälschten Erweiterung versteckt ist und VS Code, Cursor, VSCodium und andere IDEs unbemerkt kompromittiert.

#Malware

6. April 2026
„•“
Neuigkeiten

Die düsteren Prognosen zur Cybersicherheit rund um Mythos stimmen nicht mit dem überein, was wir in der Praxis beobachten

#AI

#KI-Penetrationstests

30. März 2026
„•“
Schwachstellen & Bedrohungen

axios auf npm kompromittiert: Konto des Betreuers gekapert, RAT eingesetzt

Axios wurde kompromittiert. Die schädlichen Axios-Versionen 1.14.1 und 0.30.4 wurden auf npm veröffentlicht, nachdem das Konto des Hauptbetreuers gehackt worden war. Die eingeschleuste Abhängigkeit installiert eine plattformübergreifende RAT, die sich nach der Ausführung selbst zerstört.

#Malware

2026

2026 Stand der KI in Sicherheit & Entwicklung

Unser neuer Bericht fängt die Stimmen von 450 Sicherheitsverantwortlichen (CISOs oder Äquivalente), Entwickelnden und AppSec-Ingenieuren aus ganz Europa und den USA ein. Gemeinsam enthüllen sie, wie KI-generierter Code bereits Probleme verursacht, wie Tool-Wildwuchs die Sicherheit verschlechtert und wie die Entwickelnden-Erfahrung direkt mit den Vorfallraten zusammenhängt. Hier kollidieren Geschwindigkeit und Sicherheit im Jahr 2025.

Mehr erfahren
Titelkarte mit der Aufschrift '2026 State of AI in Security & Development' auf einem dunkelblauen Gitterhintergrund.

Abonnieren Sie unseren Newsletter.
Kein Spam, garantiert.

Schwachstellen & Bedrohungen

Durchbrechen Sie das Rauschen mit realen CVE-Analysen, Malware-Analysen, Exploits und aufkommenden Risiken.

Alle anzeigen

Neuigkeiten

Unsere Sicht auf die aktuellen Entwicklungen im Bereich der Softwaresicherheit

Alle anzeigen

Kundenerlebnisse

Erfahren Sie, wie Teams wie Ihres Aikido nutzen, um die Sicherheit zu vereinfachen und mit Vertrauen zu deployen.

Alle anzeigen

Produkt- & Unternehmens-Updates

Was gibt es Neues bei Aikido – von Produkteinführungen bis zu großen Sicherheitserfolgen.

Alle anzeigen

Leitfäden & Best Practices

Praktische Tipps, Sicherheits-Workflows und Anleitungen, die Ihnen helfen, sichereren Code schneller bereitzustellen.

Alle anzeigen

Compliance

Sorgen Sie für Audit-Sicherheit mit klarer, entwicklerfreundlicher Anleitung zu SOC 2, ISO-Standards, GDPR, NIS und weiteren Vorschriften.

Alle anzeigen
Pypi
Aikido Zen
IDOR-Schwachstellen
IDE Security
Ankündigungen
Europäische Cybersicherheit
Kontinuierliches Pentesten
KI-Sicherheit
Selbstsichernde Software
SSDLC
VS Code
AI Penetration Testing
Bedrohungsmodellierung
Cyber Resilience Act
Triagieren
AutoTriage
Pentesting
Bazel
Code-Qualität
OWASP
NIS2
Legaltech
Fintech
RASP
End of Life
SQL-Injections
DAST
CNAPP
CSPM
ASPM
Infrastructure as Code (IaC)
Netzwerksicherheitsüberwachung
Lizenz-Scanner
SBOM
Container-Scanning
AppSec
Schwachstellen
Sicherheit der Software-Lieferkette
API
Abhängigkeiten
Kontinuierliches Sicherheits-Monitoring
DevSecOps
Vibe Coding
AI
NPM
AutoFix
Malware
Artikel
Open Source
SCA
Intel
SOC 2
Anwendungsfall
Tools
SAST
Compliance
CircleCI
Codeship
IMDSv2
Cloud
IMDSv1
SSRF
AWS
Axios CVE-2026-40175: Ein kritischer Fehler, der … nicht ausnutzbar ist
Axios CVE-2026-40175: Ein kritischer Fehler, der … nicht ausnutzbar ist
Die Sicherheitslücke Axios CVE-2026-40175 wird als kritisch eingestuft, ist jedoch in realen Node.js-Umgebungen praktisch nicht ausnutzbar. Hier ist der Grund dafür.
Die Sicherheitslücke Axios CVE-2026-40175 wird als kritisch eingestuft, ist jedoch in realen Node.js-Umgebungen praktisch nicht ausnutzbar. Hier ist der Grund dafür.
Schwachstellen & Bedrohungen
Bug-Bounty-Programme sind nicht tot, aber das alte Modell bricht zusammen
Bug-Bounty-Programme sind nicht tot, aber das alte Modell bricht zusammen
Das Bug-Bounty-Modell stößt an seine Grenzen, da KI-Systeme die Programme überfordern, was einen Wandel hin zu nachhaltigeren, qualitätsorientierten Sicherheitsmodellen vorantreibt.
Das Bug-Bounty-Modell stößt an seine Grenzen, da KI-Systeme die Programme überfordern, was einen Wandel hin zu nachhaltigeren, qualitätsorientierten Sicherheitsmodellen vorantreibt.
Technisches
GlassWorm wird nativ: Der neue Zig-Dropper befällt jede IDE auf Ihrem Rechner
GlassWorm wird nativ: Der neue Zig-Dropper befällt jede IDE auf Ihrem Rechner
GlassWorm setzt einen auf Zig basierenden nativen Dropper ein, der in einer gefälschten Erweiterung versteckt ist und VS Code, Cursor, VSCodium und andere IDEs unbemerkt kompromittiert.
GlassWorm setzt einen auf Zig basierenden nativen Dropper ein, der in einer gefälschten Erweiterung versteckt ist und VS Code, Cursor, VSCodium und andere IDEs unbemerkt kompromittiert.
Schwachstellen & Bedrohungen
Aikido entdeckt mehrere Zero-Day-Schwachstellen in Hoppscotch
Aikido entdeckt Zero-Day-Lücken in Hoppscotch
KI-Penetrationstests Aikidohaben mehrere schwerwiegende Sicherheitslücken in Hoppscotch entdeckt, darunter Account-Takeover, Stored-XSS und Schwachstellen in der Zugriffskontrolle. Alle Probleme wurden inzwischen behoben.
Aikido hat drei Schwachstellen mit hohem Schweregrad in Hoppscotch identifiziert: eine offene Weiterleitung, die zur Übernahme von Konten führt, gespeichertes XSS sowie ein fehlerhafte Zugriffskontrolle , das die Einfügung von Anfragen über Teamgrenzen hinweg ermöglicht.
Schwachstellen & Bedrohungen
Die düsteren Prognosen zur Cybersicherheit rund um Mythos stimmen nicht mit dem überein, was wir in der Praxis beobachten
Mythen rund um Cybersicherheitsrisiken: Was 1.000 KI-Penetrationstests tatsächlich zeigen
Das durchgesickerte „Mythos“-Modell von Anthropic hat Panik vor KI-gestützten Cyberangriffen ausgelöst. Wir haben 1.000 KI-Penetrationstests durchgeführt. Die Ergebnisse deuten darauf hin, dass die Bedrohung differenzierter ist, als es die Schlagzeilen vermuten lassen.
Neuigkeiten
axios auf npm kompromittiert: Konto des Betreuers gekapert, RAT eingesetzt
axios auf npm kompromittiert: Konto des Betreuers gekapert, RAT eingesetzt
Über ein gehacktes Konto eines Betreuers wurden bösartige Axios-Versionen 1.14.1 und 0.30.4 veröffentlicht. Eine versteckte Abhängigkeit installiert eine plattformübergreifende RAT. Prüfen Sie, ob Sie betroffen sind, und beheben Sie das Problem umgehend.
Axios wurde kompromittiert. Die schädlichen Axios-Versionen 1.14.1 und 0.30.4 wurden auf npm veröffentlicht, nachdem das Konto des Hauptbetreuers gehackt worden war. Die eingeschleuste Abhängigkeit installiert eine plattformübergreifende RAT, die sich nach der Ausführung selbst zerstört.
Schwachstellen & Bedrohungen
Beliebtes Telnyx-Paket auf PyPI von TeamPCP kompromittiert
Beliebtes Telnyx-Paket auf PyPI von TeamPCP kompromittiert
Das beliebte Telnyx-Paket auf PyPI, das von großen KI-Unternehmen genutzt wird, wurde von TeamPCP kompromittiert
Das beliebte Telnyx-Paket auf PyPI, das von großen KI-Unternehmen genutzt wird, wurde von TeamPCP kompromittiert
Schwachstellen & Bedrohungen
Aikido × Lovable: Vibe, Fix, Ship
Lovable kooperiert mit Aikido, um Pentesting für Vibe-Coded Apps bereitzustellen.
Lovable und Aikido integrieren Pentesting in die Plattform, sodass Entwickler reale Angriffe simulieren und Probleme beheben können, bevor die Software ausgeliefert wird.
Aikido integriert Pentesting direkt in Lovable. Testen Sie Ihre App, indem Sie reale Angriffe simulieren und beheben Sie Probleme, bevor Sie die Software ausliefern.
Produkt- & Unternehmens-Updates
CanisterWorm bekommt Zähne: TeamPCPs Kubernetes Wiper zielt auf Iran ab
CanisterWorm bekommt Zähne: TeamPCPs Kubernetes Wiper zielt auf Iran ab
CanisterWorm bekommt Zähne: TeamPCPs Kubernetes Wiper zielt auf Iran ab
CanisterWorm bekommt Zähne: TeamPCPs Kubernetes Wiper zielt auf Iran ab
Schwachstellen & Bedrohungen
TeamPCP setzt CanisterWorm auf NPM nach der Trivy-Kompromittierung ein
TeamPCP setzt CanisterWorm auf NPM nach der Trivy-Kompromittierung ein
TeamPCP setzt CanisterWorm auf NPM nach der Trivy-Kompromittierung ein
TeamPCP setzt CanisterWorm auf NPM nach der Trivy-Kompromittierung ein
Schwachstellen & Bedrohungen
Aikido von Frost & Sullivan mit dem 2026 Customer Value Leadership Award im Bereich ASPM ausgezeichnet
Aikido von Frost & Sullivan mit dem 2026 Customer Value Leadership Award im Bereich ASPM ausgezeichnet
Frost & Sullivan hat Aikido mit dem 2026 Customer Value Leadership Award im Bereich ASPM ausgezeichnet. Wir erläutern, was die Anerkennungskriterien darüber offenbaren, wie der AppSec-Markt reift.
Frost & Sullivan hat Aikido mit dem 2026 Customer Value Leadership Award im Bereich ASPM ausgezeichnet. Wir erläutern, was die Anerkennungskriterien darüber offenbaren, wie der AppSec-Markt reift.
Neuigkeiten
GlassWorm Verbirgt eine RAT in einer bösartigen Chrome-Erweiterung
GlassWorm RAT Über bösartige Chrome-Erweiterung bereitgestellt (Keylogger, Cookie-Diebstahl)
GlassWorm setzt eine mehrstufige RAT ein, die eine bösartige Chrome-Erweiterung zwangsinstalliert, um Tastenanschläge zu protokollieren, Cookies zu stehlen und Daten über ein Solana-basiertes C2 zu exfiltrieren.
GlassWorm setzt eine mehrstufige RAT ein, die eine bösartige Chrome-Erweiterung zwangsinstalliert, um Tastenanschläge zu protokollieren, Cookies zu stehlen und Daten über ein Solana-basiertes C2 zu exfiltrieren.
Schwachstellen & Bedrohungen
Sicherheitstests validieren Software, die nicht mehr existiert
Warum Pentesting nicht mithalten kann: Das Geschwindigkeitsproblem bei Sicherheitstests
Moderne Teams liefern schneller aus, als Pentesting mithalten kann. Entdecken Sie die wachsende Geschwindigkeitslücke bei Sicherheitstests – und warum traditionelle Ansätze ins Hintertreffen geraten.
Ein CISO eines großen Unternehmens sagte uns, die wichtigste Sicherheitsfunktion heute sei Geschwindigkeit. Doch was passiert, wenn Tests nicht mit der Geschwindigkeit mithalten können, mit der sich Systeme ändern?
Leitfäden & Best Practices
fast-draft Open VSX Extension durch BlokTrooper kompromittiert
fast-draft Open VSX Extension durch BlokTrooper (RAT & Infostealer) kompromittiert
Die fast-draft Open VSX Extension wurde kompromittiert, um einen BlokTrooper RAT und Infostealer über auf GitHub gehostete Payloads bereitzustellen. Es wurden mehrere bösartige Versionen identifiziert.
Eine beliebte Open VSX Extension wurde kompromittiert und genutzt, um einen RAT und Infostealer von Angreifer-kontrollierter Infrastruktur bereitzustellen. Ihre Versionshistorie erzählt die wahre Geschichte, wobei bösartige Releases zwischen sauberen Versionen auftauchten.
Schwachstellen & Bedrohungen
Glassworm greift beliebte React Native Telefonnummern-Pakete an
Glassworm greift beliebte React Native Telefonnummern-Pakete in einem neuen Lieferkettenangriff an
Forscher von Aikido Security haben die vollständige Payload-Kette aus zwei bösartigen React Native Paketen wiederhergestellt und entschlüsselt. Hier erfahren Sie, was die Malware tut und worauf Sie achten sollten.
Zwei beliebte React Native npm-Pakete wurden von mutmaßlichen Glassworm-Akteuren mit Backdoors versehen und zur Auslieferung von mehrstufiger Malware verwendet. Hier erfahren Sie, was die Malware tut und worauf Sie achten sollten.
Schwachstellen & Bedrohungen
Glassworm ist zurück: Eine neue Welle unsichtbarer Unicode-Angriffe trifft Hunderte von Repositories
Glassworm kehrt zurück: Unsichtbare Unicode-Malware in über 150 GitHub-Repositories entdeckt
Der Glassworm Supply-Chain-Angriff ist zurück. Forscher entdeckten Malware, die in unsichtbaren Unicode-Zeichen in über 150 GitHub-Repositories sowie in npm-Paketen und VS Code-Erweiterungen versteckt war.
Glassworm ist mit einer neuen Welle unsichtbarer Unicode-Angriffe zurück. Wir verfolgen eine neue Kampagne, die Repositories auf GitHub, npm und VS Code still und heimlich kompromittiert.
Schwachstellen & Bedrohungen
Die besten RSAC 2026 Partys, Side-Events & Security Meetups
RSAC 2026 Partys & Security Events Guide | Aikido
RSAC 2026 Partys & Security Events Guide | Aikido
Neuigkeiten
Wie Sicherheitsteams gegen KI-gestützte Hacker vorgehen
Wie Sicherheitsteams gegen KI-gestützte Hacker vorgehen
KI hat die Einstiegshürde für Hacker drastisch gesenkt. Das bedeutet dies für Verteidiger und wie kontinuierliche KI-Penetrationstests die Gleichung verändern.
Ein einzelner Hacker und ein Claude-Abonnement haben gerade neun mexikanische Regierungsbehörden lahmgelegt. KI hat Angreifern ein erhebliches Power-Upgrade verschafft. Sicherheitsteams brauchen ein neues Playbook.
Schwachstellen & Bedrohungen
Wir stellen Betterleaks vor, einen Open-Source Secrets-Scanner vom Autor von Gitleaks
Betterleaks: Der Gitleaks-Nachfolger für schnelleren Secrets-Scan
Betterleaks ist ein neuer Open-Source Secrets-Scanner vom Entwickler von Gitleaks. Ein direkter Ersatz mit schnelleren Scans, Erkennung der Token-Effizienz, konfigurierbarer Validierung und vielem mehr.
Der Entwickler von Gitleaks bringt seinen Nachfolger auf den Markt. Betterleaks ist ein schnellerer Open-Source-Secrets-Scanner, entwickelt, um mehr Leaks zu erkennen und sich in moderne Entwickelnde-Workflows einzufügen.
Produkt- & Unternehmens-Updates
Wie funktionieren KI-Penetrationstests mit Compliance?
Wie funktioniert KI-Penetrationstesten mit Compliance?
KI-Penetrationstesten wird für SOC 2, ISO 27001, HIPAA und PCI DSS akzeptiert. Hier erfahren Sie, worauf Auditoren tatsächlich achten und wo die wirklichen Einschränkungen liegen.
KI-Penetrationstesten wird für SOC 2, ISO 27001, HIPAA und PCI DSS akzeptiert. Hier erfahren Sie, worauf Auditoren tatsächlich achten und wo die wirklichen Einschränkungen liegen.
Compliance
Trumps Cybersicherheitsstrategie 2026: Von Compliance zu Konsequenz
Trumps Cybersicherheitsstrategie 2026: Von Compliance zu Konsequenz
Die Cybersicherheitsstrategie der Trump-Regierung für 2026 verlagert den Fokus von Compliance-Checklisten auf echte Konsequenzen für Cyberkriminelle. Hier ist, was CISOs wissen müssen.
Neuigkeiten
Was kontinuierliches Penetrationstesten tatsächlich erfordert
Kontinuierliches Penetrationstesten: Wie es funktioniert und was es erfordert
Kontinuierliches Penetrationstesten verspricht Echtzeit-Sicherheitsvalidierung, aber die meisten Implementierungen bleiben hinter den Erwartungen zurück. Hier ist, was kontinuierliches Penetrationstesten tatsächlich erfordert – von änderungsbewusstem Testen über Exploit-Validierung bis hin zu Remediation-Loops.
Kontinuierliches Penetrationstesten wird viel diskutiert, aber selten klar definiert. Dieser Artikel erklärt, was es ist, was es nicht ist und was es tatsächlich erfordert.
Leitfäden & Best Practices
Selten, nicht zufällig: Nutzung der Token-Effizienz für den Secrets-Scan
Selten, nicht zufällig: Nutzung der Token-Effizienz für den Secrets-Scan
Entropie hat oft Schwierigkeiten mit generischen Secrets und kurzen Zeichenketten. Wir untersuchen, wie die Token-Effizienz Zeichenketten besser identifizieren kann, die nicht wie normaler Text aussehen.
Entropie ist hervorragend darin, Zufälligkeit zu erkennen. Doch Secrets sind nicht immer zufällig. Es sind lediglich Zeichenketten, die in normalem Code oder Text nicht vorkommen. Wir untersuchen die Nutzung der BPE-Tokenisierung, um diesen Unterschied zu messen.
Leitfäden & Best Practices
Warum Determinismus in der Sicherheit immer noch eine Notwendigkeit ist
Warum Determinismus in der Sicherheit immer noch eine Notwendigkeit ist
KI-Scans finden, was Regeln übersehen. Deterministische Scans finden es jedes Mal. Hier erfahren Sie, warum die besten Security-Pipelines nicht zwischen ihnen wählen.
KI-gestützte Security-Tools werden immer besser darin, Schwachstellen zu finden. Deterministische Tools bieten jedoch die Konsistenz, auf die Pipelines, Compliance und Audit-Trails angewiesen sind. Wir betrachten, was deterministische Scans gut leisten, wo KI übernimmt und wie beide für effektive Sicherheit zusammenarbeiten.
Engineering
WAF vs. RASP vs. ADR
WAF vs. RASP vs. ADR: Wie Runtime Application Security funktioniert
WAF, RASP und ADR schützen Ihre Anwendung auf völlig unterschiedliche Weisen. Hier erfahren Sie, was jede Schicht tatsächlich leistet, wo ihre Grenzen liegen und welche Sie benötigen.
WAF, RASP, ADR, eBPF — Wir klären die Terminologie rund um Runtime Application Security. Hier erfahren Sie, was jede Schicht tatsächlich leistet, wie sie sich überschneiden und wie sie zusammenpassen.
Anleitungen
Vorstellung von Aikido Infinite: Ein neues Modell selbstsichernder Software
Aikido Infinite: Kontinuierliche KI-Penetrationstests für jedes Release
Aikido Infinite führt KI-Penetrationstests bei jeder Code-Änderung durch, validiert die Ausnutzbarkeit, generiert Patches und testet Korrekturen erneut, bevor der Code in Produktion geht, wodurch selbstsichernde Software Realität wird.
Produkt- & Unternehmens-Updates
Persistentes XSS/RCE mittels WebSockets im Storybook-Entwicklungsserver
Persistentes XSS/RCE mittels WebSockets in Storybook (CVE-2026-27148)
CVE-2026-27148 legt eine WebSocket-Hijacking-Schwachstelle in Storybook offen, die zu einer Kompromittierung der Lieferkette eskalieren kann. Erfahren Sie mehr über den Angriffspfad, die Auswirkungen und wie Sie Abhilfe schaffen können.
Aikido Attack entdeckte eine WebSocket-Hijacking-Schwachstelle im Dev-Server von Storybook, die zu persistentem XSS, Remote Code Execution und im schlimmsten Fall zu einer Kompromittierung der Lieferkette führen kann. Wir erklären, wie ein Angreifer dies ohne jegliche Benutzerinteraktion ausnutzen kann und wie ein Entwickelnde nur die falsche Website besuchen muss, um diesem Angriff zum Opfer zu fallen.
Schwachstellen & Bedrohungen
Wie Aikido KI-Penetrationstest-Agenten konzeptbedingt absichert
Wie Aikido KI-Penetrationstest-Agenten absichert und Scope Drift verhindert
Erfahren Sie, wie Aikido KI-Penetrationstest-Agenten durch architektonische Isolation, Laufzeit-Scope-Erzwingung und netzwerkbasierte Kontrollen absichert, um Production Drift und Datenlecks zu verhindern.
KI-Agenten sind darauf ausgelegt, zu explorieren. In der Cybersicherheit benötigt diese Exploration strenge Grenzen. Dieser Artikel erklärt, wie Aikido KI-Penetrationstest-Agenten durch architektonische Isolation, Laufzeit-Scope-Erzwingung und geschichtete Kontrollen absichert, die Risiken konzeptbedingt eindämmen.
Produkt- & Unternehmens-Updates
Astro SSRF mit vollständigem Lesezugriff durch Host-Header-Injection
Astro SSRF-Schwachstelle: Host-Header-Injection in SSR-Fehlerseiten (CVE-2026-25545)
Der KI-Penetrationstests-Agent von Aikido Security entdeckte eine Server-Side Request Forgery (SSRF)-Schwachstelle in Astros SSR-Implementierung. Erfahren Sie, wie die Host-Header-Injection in vorgerenderten Fehlerseiten vollen internen Netzwerkzugriff ermöglichte.
Aikidos KI-Penetrationstest-Agent entdeckte eine SSRF-Schwachstelle in Astros Node.js-Adapter. Wir werden untersuchen, wie Angreifer durch das Einschleusen eines bösartigen Host:-Headers eine interne Anfrage auf jede beliebige URL im lokalen Netzwerk umleiten könnten.
Schwachstellen & Bedrohungen
Wie Sie Ihr Board dazu bringen, sich um Sicherheit zu kümmern (Bevor eine Sicherheitsverletzung das Thema erzwingt)
Wie Sie Ihren Vorstand für Sicherheit gewinnen – noch vor einem Vorfall
Vorstände finanzieren Sicherheit nicht, weil sie wichtig ist. Sie finanzieren vertretbare Entscheidungen. Erfahren Sie hier, wie Sie Risiken einordnen, Unklarheiten reduzieren und echte Unterstützung gewinnen, bevor ein Vorfall die Angelegenheit erzwingt.
Anleitungen
Was ist Slopsquatting? Der bereits stattfindende Angriff durch AI-Paket-Halluzinationen
Slopsquatting: Der bereits stattfindende Angriff durch AI-Paket-Halluzinationen
AI-Modelle halluzinieren npm-Paketnamen. Angreifer registrieren sie zuerst. Hier erfahren Sie, was Slopsquatting ist, wie es sich über Agent Skills verbreitet und wie Sie sich schützen können.
AI-Modelle halluzinieren Paketnamen – und Angreifer registrieren sie, bevor es jemand bemerkt. Slopsquatting ist die AI-Ära-Evolution von Typosquatting, und im Gegensatz zu seinem Vorgänger funktionieren die bestehenden Schutzmechanismen von npm nicht. Wir betrachten die reale Forschung, die zeigt, dass dies bereits geschieht, von bestätigten bösartigen Paketen, die immer noch Hunderte von wöchentlichen Downloads verzeichnen, bis hin zu einem halluzinierten Paketnamen, der sich über AI-Agent-Skill-Dateien auf 237 Repositories verbreitete.
Leitfäden & Best Practices
Die Top 6 Wiz Code Alternativen
Wiz Code Alternativen (2026): 6 Tools im Vergleich und die beste Developer-First-Option
Suchen Sie nach Wiz Code Alternativen? Vergleichen Sie 6 Tools hinsichtlich SAST, DAST, SCA, Preisgestaltung und Entwickelnden-Experience, um die beste AppSec-Plattform für 2026 zu finden.
Dieser Leitfaden vergleicht Wiz Code mit sechs Alternativen: Aikido Security, Snyk, Checkmarx, GitHub Advanced Security, Mend und Veracode, bewertet nach Abdeckung, Developer Experience, KI-gestütztem Triage, Preistransparenz und Bereitstellungsgeschwindigkeit. Aikido Security ist die beste Wahl für Teams, die eine Developer-First-Plattform mit breiter Abdeckung, 85% False Positive Reduktion, KI-AutoFix über SAST, IaC und Container hinweg, nativem DAST und transparenter Preisgestaltung zu etwa einem Zehntel der Kosten von Wiz wünschen.
Leitfäden & Best Practices
Aikido im Application Security Report 2026 von Latio Tech als Platform Leader ausgezeichnet
Aikido im Latio 2026 Report als AppSec Platform Leader benannt
Aikido Security im AppSec Report 2026 von Latio Tech als Platform Leader, KI-Penetrationstests-Innovator und Supply Chain Innovator ausgezeichnet.
Der AppSec Report 2026 von Latio Tech nennt Aikido einen Platform Leader und AI Innovator. Hier erfahren Sie, was der Bericht über die Zukunft der Anwendungssicherheit enthüllt.
Neuigkeiten
Von der Erkennung zur Prävention: Wie Zen IDOR-Schwachstellen zur Laufzeit stoppt
Von der Erkennung zur Prävention: Zen stoppt IDOR zur Laufzeit | Aikido
IDOR-Schwachstellen sind eine der häufigsten Ursachen für mandantenübergreifende Datenlecks in Multi-Tenant-SaaS-Umgebungen. Erfahren Sie, wie Zen die Mandantenisolation zur Laufzeit durchsetzt, indem es SQL-Abfragen analysiert und unsicheren Zugriff verhindert, bevor er ausgeliefert wird.
IDOR-Schwachstellen sind eine Hauptursache für mandantenübergreifende Datenlecks in Multi-Tenant-Anwendungen. In diesem Beitrag erklären wir, wie Zen über die Erkennung hinausgeht und die Mandantenisolation zur Laufzeit erzwingt, wodurch mandantenübergreifender Zugriff versehentlich nicht mehr ausgeliefert werden kann.
Produkt- & Unternehmens-Updates
npm-Backdoor ermöglicht Hackern die Manipulation von Glücksspielergebnissen
npm Supply-Chain-Angriff kapert Game-Backend zur Manipulation von Glücksspielergebnissen
Ein gezielter npm Supply-Chain-Angriff installiert eine Express-Backdoor, ermöglicht Remote-SQL-/Dateizugriff und schreibt Glücksspielguthaben um, während die Logs konsistent bleiben.
Wir haben bösartige npm-Pakete aufgedeckt, die Glücksspieltransaktionen in der Produktion modifizieren und die Datenbank anschließend intern konsistent halten können.
Schwachstellen & Bedrohungen
Warum der Versuch, OpenClaw zu sichern, lächerlich ist
Warum der Versuch, OpenClaw zu sichern, lächerlich ist
Die Sicherheitsprobleme von OpenClaw erklärt: Malware in ClawHub, offengelegte Instanzen und warum Hardening-Anleitungen am Ziel vorbeigehen. Kann man den AI-Agenten sicher nutzen??
Neuigkeiten
Einführung der Upgrade-Auswirkungsanalyse: Wann sind grundlegende Änderungen für Ihren Code tatsächlich von Bedeutung?
Analyse der Upgrade-Auswirkungen: Wenn Breaking Changes wirklich relevant sind | Aikido
Aikido erkennt automatisch Breaking Changes bei Dependency-Upgrades und analysiert Ihre Codebasis, um die tatsächlichen Auswirkungen aufzuzeigen, sodass Teams Sicherheits-Fixes sicher mergen können.
Aikidos Upgrade Impact Analysis kennzeichnet Breaking Changes in Abhängigkeits-Updates und zeigt, ob diese Änderungen tatsächlich Ihren Code beeinflussen.
Produkt- & Unternehmens-Updates
Claude Opus 4.6 fand 500 Schwachstellen. Was ändert das für die Software-Sicherheit?
Claude Opus 4.6 fand 500 Schwachstellen: Was das für die Softwaresicherheit bedeutet
Anthropic behauptet, Claude Opus 4.6 habe über 500 hochkritische Schwachstellen in Open Source aufgedeckt. Hier erfahren Sie, was das für die Schwachstellenfindung, die Validierung der Ausnutzbarkeit und die Sicherheitsprozesse in der Produktion bedeutet.
Claude Opus 4.6 hat Berichten zufolge über 500 hochkritische Schwachstellen in Open Source gefunden. Dieser Artikel untersucht, was sich dadurch in der Produktion tatsächlich ändert, wo LLM-Reasoning hilfreich ist und warum Validierung und Erreichbarkeitsanalyse immer noch den tatsächlichen Sicherheitsimpact bestimmen.
Neuigkeiten
Wir stellen vor: Aikido Expansion Packs: Sicherere Standardeinstellungen direkt in der IDE
Aikido Expansion Packs: Sicherere Standardeinstellungen direkt in der IDE
Aikido Expansion Packs fügen gezielte Sicherheitskontrollen direkt in Ihre IDE ein. Aktivieren Sie Secrets-Schutz, Supply-Chain-Malware-Prüfungen und KI-gestützte Codesicherheit, ohne die Workflows der Entwickelnden zu ändern.
Produkt- & Unternehmens-Updates
Internationaler KI-Sicherheitsbericht 2026: Was er für autonome KI-Systeme bedeutet
Internationaler KI-Sicherheitsbericht 2026: Analyse von Aikido Security
Die Analyse von Aikido Security zum Internationalen KI-Sicherheitsbericht 2026. Wir untersuchen Kontrollen zur Bereitstellungszeit, Validierungsanforderungen und praktische Sicherheitsgrundlagen für autonome KI-Systeme.
Über 100 Experten haben zum Internationalen KI-Sicherheitsbericht 2026 beigetragen, der Risiken autonomer KI-Systeme dokumentiert und Defense-in-Depth-Frameworks vorschlägt. Als Team, das KI-Penetrationstests-Systeme in Produktion betreibt, analysieren wir, wo der Bericht richtig liegt und wo er mehr technische Spezifität benötigt.
Neuigkeiten
Selbstsichernde Software: Was es ist, warum es wichtig ist und wie es funktioniert
Was ist selbstsichernde Software? Ein neues Sicherheitsmodell für moderne Software
Selbstsichernde Software ist ein Sicherheitsmodell, bei dem Systeme kontinuierlich reale Risiken validieren und beheben, während sie sich ändern. Erfahren Sie, warum periodische Tests nicht mehr skalieren.
Selbstsichernde Software betrachtet Sicherheit als eine integrierte Systemfähigkeit, nicht als einen periodischen Prozess. Dieser Artikel erklärt, warum moderne Software ein neues Sicherheitsmodell erfordert und was es heute möglich macht.
Produkt- & Unternehmens-Updates
Sicherer SDLC für Entwicklungsteams (+ Checkliste)
Sicherer SDLC erklärt: Die 5 Säulen eines sicheren Softwareentwicklungs-Lebenszyklus
Erfahren Sie, was ein sicherer SDLC ist, warum er wichtig ist und die fünf Säulen, die jedes Team benötigt. Enthält eine praktische Secure SDLC-Checkliste für CTOs und Engineering-Leiter.
Leitfäden & Best Practices
Top 10 KI-Sicherheitstools für 2026
Top 10 KI-Sicherheitstools für 2026: Funktionen, Vorteile und Vergleiche
Entdecken Sie die besten KI-Sicherheitstools für 2026. Vergleichen Sie Plattformen für KI-Code-Reviews, Schwachstellenerkennung, Penetrationstests und Risikomanagement, um moderne Anwendungen zu sichern.
DevSec-Tools & Vergleiche
Top 10 Cybersicherheitstools für 2026
Top 10 Cybersicherheitstools für 2026: Erkennung, Cloud, XDR & AppSec
Eine praktische Übersicht der Top 10 Cybersicherheitstools für 2026, die Endpoint, Cloud, Identität, Schwachstellenmanagement und XDR abdecken. Erfahren Sie, wie Sie das richtige Tool für Ihren Stack und Ihr Risikoprofil auswählen.
DevSec-Tools & Vergleiche
Was ist kontinuierliches Penetrationstesten?
Was ist kontinuierliches Penetrationstesten? Wie moderne Teams das ausnutzbare Risiko reduzieren
Kontinuierliches Penetrationstesten testet automatisch reale Angriffspfade jedes Mal, wenn sich Software ändert, wobei Probleme als Teil des Entwicklungszyklus validiert und behoben werden. Erfahren Sie, wie es sich im Vergleich zu AI- und manuellem Penetrationstesten verhält.
Kontinuierliches Penetrationstesten betrachtet Sicherheit als ein lebendiges System, nicht als einen einmaligen Test. Erfahren Sie, wie moderne Teams es nutzen, um das ausnutzbare Risiko bei Softwareänderungen zu reduzieren.
Leitfäden & Best Practices
npx-Verwirrung: Pakete, die vergessen haben, ihren eigenen Namen zu beanspruchen
npx-Verwirrung: Pakete, die vergessen haben, ihren eigenen Namen zu beanspruchen
Wir haben 128 nicht beanspruchte npm-Paketnamen registriert, die offizielle Dokumentationen Entwickelnden zur npx-Ausführung empfahlen. Sieben Monate später: 121.000 Downloads. Alle hätten beliebigen Code ausgeführt.
Offizielle Dokumentationen weisen Entwickelnde an, `npx package-name` auszuführen. Doch was, wenn niemand diesen Namen beansprucht hat? Wir haben 128 davon registriert und beobachtet. 121.000 Downloads in sieben Monaten. Der Feiertagsrückgang beweist, dass es sich um echte Entwickelnde und nicht um Bots handelt.
Schwachstellen & Bedrohungen
Wir stellen vor: Aikido Package Health: Ein besserer Weg, Ihren Abhängigkeiten zu vertrauen
Aikido Package Health: Health Score für Open-Source-Pakete
Sehen Sie, wie stabil und gut gewartet ein Open-Source-Paket wirklich ist. Aikido Package Health hilft Entwicklern, sicherere Abhängigkeiten mit Vertrauen zu wählen.
Produkt- & Unternehmens-Updates
KI-Penetrationstests: Mindestanforderungen an die Sicherheit für Sicherheitstests
Wann sind KI-Penetrationstests sicher? Mindestsicherheitsanforderungen für Sicherheitstests
KI-Penetrationstest-Systeme agieren autonom in Live-Umgebungen. Erfahren Sie, wann KI-Penetrationstests sicher eingesetzt werden können, welche minimalen technischen Schutzmaßnahmen erforderlich sind und wie man KI-Sicherheitstest-Tools verantwortungsvoll bewertet.
KI-Penetrationstests sind bereits Realität, aber klare Sicherheitserwartungen fehlen noch. Dieser Artikel definiert einen Mindestsicherheitsstandard für KI-Penetrationstests und bietet Teams eine konkrete Grundlage zur Bewertung neuer Tools.
Leitfäden & Best Practices
Gefälschte Clawdbot VS Code Extension installiert ScreenConnect RAT
Gefälschte Clawdbot VS Code Extension installiert ScreenConnect RAT
Eine bösartige VS Code Extension, die sich als Clawdbot ausgibt, installiert ScreenConnect RAT auf Entwickler-Maschinen.
Eine bösartige VS Code Extension, die sich als Clawdbot ausgibt, installiert ScreenConnect RAT auf Entwickler-Maschinen.
Schwachstellen & Bedrohungen
Die Top 7 Bedrohungsaufklärungstools im Jahr 2026
Die Top 7 Bedrohungsaufklärungstools im Jahr 2026: Rauschen reduzieren und sich auf reale Risiken konzentrieren
Ein tiefer Einblick in die Top Bedrohungsaufklärungstools des Jahres 2026, der vergleicht, wie sie Alert Fatigue reduzieren, Kontext hinzufügen und Teams helfen, reale Sicherheitsrisiken zu priorisieren.
DevSec-Tools & Vergleiche
Die Top 14 VS Code-Erweiterungen für 2026
Die Top 14 VS Code-Erweiterungen für 2026: Produktivität, Testen, Sicherheit und Zusammenarbeit
Ein praktischer Leitfaden zu den besten VS Code-Erweiterungen für 2026, der Produktivitäts-, Test-, Kollaborations- und Sicherheitstools abdeckt, die reale Entwickelnde-Workflows verbessern.
DevSec-Tools & Vergleiche
G_Wagon: npm-Paket setzt Python-Stealer ein, der über 100 Krypto-Wallets angreift
G_Wagon: npm-Paket setzt Python-Stealer ein, der über 100 Krypto-Wallets angreift
Das npm-Paket ansi-universal-ui liefert den GWagon Infostealer, der über 100 Krypto-Wallets, Browser-Zugangsdaten und Cloud-Schlüssel angreift. Wir haben alle 10 Versionen analysiert, während der Angreifer in Echtzeit iterierte.
Schwachstellen & Bedrohungen
Pentest GPT: Wie LLMs Penetrationstests neu gestalten
Pentest GPT: Wie KI Penetrationstests verändert
Erfahren Sie, wie Pentest GPT LLMs nutzt, um Angriffslogik zu automatisieren, reale Exploits zu simulieren und Tests zu skalieren. Sehen Sie, wie Aikido jede Erkenntnis validiert.
DevSec-Tools & Vergleiche
Phishing-Angriff: npm-Pakete, die Benutzerdefinierte Seiten zum Sammeln von Anmeldeinformationen bereitstellen
Phishing-Angriff: npm-Pakete, die Benutzerdefinierte Seiten zum Sammeln von Anmeldeinformationen bereitstellen
Eine gezielte Spear-Phishing-Kampagne nutzte npm-Pakete und jsDelivr als kostenlose Phishing-Infrastruktur und stellte pro Opfer angepasste Credential-Harvester bereit.
Schwachstellen & Bedrohungen
Bösartige PyPI-Pakete spellcheckpy und spellcheckerpy liefern Python RAT
Bösartige PyPI-Pakete spellcheckpy und spellcheckerpy liefern Python RAT
Angreifer veröffentlichten gefälschte Spellchecker-Pakete auf PyPI mit offen sichtbarer Malware. Wir analysieren den Angriff und worauf Entwickelnde achten müssen.
Schwachstellen & Bedrohungen
SvelteSpill: Ein Cache-Deception-Bug in SvelteKit + Vercel
SvelteSpill: Kritischer Cache-Deception-Bug in SvelteKit + Vercel
SvelteSpill ist eine Cache-Deception-Schwachstelle, die standardmäßige SvelteKit-Anwendungen betrifft, die auf Vercel bereitgestellt werden. Authentifizierte Antworten können zwischengespeichert und über Benutzer hinweg offengelegt werden. Erfahren Sie, wie Sie prüfen können, ob Sie anfällig sind und wie Sie das Risiko mindern können.
Unser KI-Penetrationstestsystem entdeckte und reproduzierte eine hochkritische Schwachstelle in standardmäßigen SvelteKit-Bereitstellungen auf Vercel. So verfolgte es einen schichtenübergreifenden Fehler über 150.000 Zeilen Code hinweg.
Schwachstellen & Bedrohungen
Agent Skills verbreiten halluzinierte npx-Befehle
Agent Skills verbreiten halluzinierte npx-Befehle
KI-Agentenfähigkeiten verbreiten halluzinierte npx-Befehle, wodurch echte Sicherheits- und Zuverlässigkeitsrisiken für Entwickelnde und Lieferketten entstehen.
Schwachstellen & Bedrohungen
Das Open-Source-Lizenzrisiko in moderner Software verstehen
Das Open-Source-Lizenzrisiko in moderner Software verstehen
Open-Source-Lizenzrisiko verbirgt sich in Abhängigkeiten und Container-Images. Erfahren Sie, was es ist, warum es wichtig ist und wie Sie Probleme frühzeitig erkennen können.
Open Source entwickelt sich schnell, aber seine Lizenzen haben immer noch Regeln. Dieser Artikel erklärt, was Open-Source-Lizenzrisiken sind, warum Teams diese in modernen Abhängigkeitsbäumen immer wieder übersehen und wie man konform bleibt, ohne dass es zu einer juristischen Notübung wird.
Leitfäden & Best Practices
Die CISO Vibe Coding Checkliste für Sicherheit
CISO Vibe Coding Checkliste: Absicherung von KI-erstellten Anwendungen
Eine praktische Sicherheits-Checkliste für CISOs, die KI- und Vibe-Code-Anwendungen verwalten. Behandelt technische Leitplanken, KI-Kontrollen und organisatorische Richtlinien.
KI-gestütztes Vibe Coding ermöglicht es jedem, Software auszuliefern. Dieser Beitrag skizziert die Sicherheitsrisiken, denen CISOs gegenüberstehen, und stellt eine praktische Checkliste vor, die von CISOs bei Lovable und Supabase mitgestaltet wurde.
Leitfäden & Best Practices
Von “No Bullsh*t Security” zu $1 Mrd.: Aikido holt über Series-B-Finanzierung über 60 Mio. $ ein
Aikido Security nimmt 60 Mio. $ bei einer Bewertung von 1 Mrd. $ auf
Aikido gibt eine Series-B-Finanzierung in Höhe von 60 Mio. $ bei einer Bewertung von 1 Mrd. $ bekannt und beschleunigt damit seine Vision von selbstsichernder Software und kontinuierlichem Penetration Testing.
Aikido wird zu einem der schnellsten Cybersicherheitsunternehmen, das weltweit den Unicorn-Status erreicht, und zum schnellsten überhaupt in Europa.
Produkt- & Unternehmens-Updates
Kritische n8n-Schwachstelle ermöglicht nicht authentifizierte Remote Code Execution (CVE-2026-21858)
n8n kritische Schwachstelle (CVE-2026-21858) | Unerlaubte RCE erklärt
Eine kritische Schwachstelle in n8n (CVE-2026-21858) ermöglicht die unauthentifizierte Remote Code Execution auf selbst gehosteten Instanzen. Erfahren Sie, wer betroffen ist und wie Sie Abhilfe schaffen können.
Schwachstellen & Bedrohungen
KI-gesteuerter Pentest von Coolify: Sieben CVEs identifiziert
Sieben CVEs in Coolify durch KI-Penetrationstests identifiziert | Aikido
KI-gesteuerte Penetrationstests von Coolify identifizierten sieben CVEs, darunter Schwachstellen für Privilegieneskalation und Remote Code Execution. Die Ergebnisse wurden verantwortungsvoll offengelegt und behoben.
Aikido
JavaScript, MSBuild und die Blockchain: Anatomie des NeoShadow npm Supply-Chain-Angriffs
NeoShadow npm Supply-Chain-Angriff: JavaScript, MSBuild & Blockchain
Eine detaillierte technische Analyse des NeoShadow npm Supply-Chain-Angriffs, die aufzeigt, wie JavaScript-, MSBuild- und Blockchain-Techniken kombiniert wurden, um Entwickelnde zu kompromittieren.
Schwachstellen & Bedrohungen
SAST vs. SCA: Den Code sichern, den Sie schreiben, und den Code, von dem Sie abhängen
SAST vs. SCA erklärt: Sicherung Ihres Codes und Ihrer Abhängigkeiten
Erfahren Sie, wie sich SAST und SCA unterscheiden, welche Risiken jeder Ansatz adressiert und warum moderne AppSec-Teams beides benötigen, um Code und Abhängigkeiten zu sichern.
Technisches
Die 6 besten Tools für kontinuierliches Penetrationstesten im Jahr 2026
Die 6 besten Tools für kontinuierliches Penetrationstesten im Jahr 2026
Entdecken Sie die führenden Tools für kontinuierliches Penetrationstesten, die Echtzeit-Sicherheitstests mit KI-Unterstützung für moderne Anwendungen bieten.
DevSec-Tools & Vergleiche
Wie Engineering- und Sicherheitsteams die technischen Anforderungen von DORA erfüllen können
DORA technische Anforderungen für Engineering- und Security-Teams
Verstehen Sie die technischen Anforderungen von DORA für Engineering- und Sicherheitsteams, einschließlich Resilienztests, Risikomanagement und prüfbereiter Nachweise.
Compliance
IDOR-Schwachstellen erklärt: Warum sie in modernen Anwendungen bestehen bleiben
IDOR-Schwachstelle erklärt: Warum unsichere direkte Objektverweise bestehen bleiben
Erfahren Sie, was eine IDOR-Schwachstelle ist, warum unsichere direkte Objektverweise in modernen APIs bestehen bleiben und warum traditionelle Testtools Schwierigkeiten haben, echte Autorisierungsfehler zu erkennen.
Erfahren Sie, was eine IDOR-Schwachstelle ist, warum unsichere direkte Objektverweise in modernen APIs bestehen bleiben und warum traditionelle Testtools Schwierigkeiten haben, echte Autorisierungsfehler zu erkennen.
Schwachstellen & Bedrohungen
Shai Hulud schlägt wieder zu – Der goldene Pfad
Shai Hulud schlägt wieder zu – Der goldene Pfad
Ein neuer Stamm von Shai Hulud wurde in freier Wildbahn beobachtet.
Schwachstellen & Bedrohungen
MongoBleed: MongoDB Zlib Schwachstelle (CVE-2025-14847) und wie man sie behebt
MongoBleed: MongoDB Zlib-Schwachstelle (CVE-2025-14847)
MongoBleed, verfolgt als CVE-2025-14847, ermöglicht eine nicht authentifizierte Offenlegung des Speichers in MongoDB über die zlib-Kompression. Siehe Auswirkungen und Behebung.
Schwachstellen & Bedrohungen
Erste hochentwickelte Malware auf Maven Central über Typosquatting-Angriff auf Jackson entdeckt
Maven Central Malware: Jackson Typosquatting liefert Cobalt Strike Payload
Wir haben die erste ausgeklügelte Malware-Kampagne auf Maven Central aufgedeckt: ein Typosquatting-Jackson-Paket, das mehrstufige Payloads und Cobalt Strike Beacons über die Spring Boot Auto-Ausführung liefert.
Schwachstellen & Bedrohungen
The Fork Awakens: Warum GitHubs unsichtbare Netzwerke die Paketsicherheit gefährden
The Fork Awakens: Warum GitHubs unsichtbare Netzwerke die Paketsicherheit gefährden
Eine detaillierte Analyse einer GitHub-Sicherheitslücke, bei der geforkte Commits Angreifern ermöglichten, Abhängigkeiten zu fälschen. Verstehen Sie das Commit-SHA-Problem und warum Paketmanager API-Level-Schutz benötigen.
Schwachstellen & Bedrohungen
SAST in der IDE ist jetzt kostenlos: SAST dorthin verlagern, wo Entwicklung tatsächlich stattfindet
Kostenloses SAST-Scanning in Ihrer IDE
Führen Sie kostenlose SAST-Scans direkt in Ihrer IDE durch, mit Echtzeit-Feedback und projektweiter Sichtbarkeit. Nutzen Sie dieselben SAST-Regeln und -Engine wie Aikido, mit optionalem AutoFix für unterstützte Befunde.
Produkt- & Unternehmens-Updates
KI-Penetrationstests in Aktion: Eine TL;DV-Zusammenfassung unserer Live-Demo
Aikido KI-Penetrationstests: Live-Demo-Rückblick & FAQ
Ein Rückblick auf die Live-Demo von Aikido KI-Penetrationstests. Erfahren Sie, wie autonome Agenten reale Anwendungen testen, Ergebnisse validieren, Berichte erstellen und erneute Tests ermöglichen.
Anleitungen
Top 7 Cloud-Sicherheits-Schwachstellen
Die 7 größten Cloud-Sicherheitslücken und wie man sie verhindert
Entdecken Sie die sieben größten Cloud-Sicherheitslücken, die moderne Umgebungen betreffen. Erfahren Sie, wie Angreifer IMDS, Kubernetes, Fehlkonfigurationen und mehr ausnutzen, und erkunden Sie Strategien, um Ihre Cloud-Infrastruktur effektiv zu schützen.
Leitfäden & Best Practices
Wie man die UK Cybersecurity & Resilience Bill einhält: Ein praktischer Leitfaden für moderne Engineering-Teams
Einhaltung des UK Cybersecurity & Resilience Bill | Sicherheitsleitfaden
Erfahren Sie, wie Sie die Anforderungen des UK Cybersecurity & Resilience Bill erfüllen, von Secure-by-Design-Praktiken über SBOM-Transparenz und Sicherheit der Lieferkette bis hin zu kontinuierlicher Compliance.
Compliance
React & Next.js DoS-Schwachstelle (CVE-2025-55184): Was Sie nach React2Shell beheben müssen
React & Next.js DoS-Schwachstelle (CVE-2025-55184) erklärt
CVE-2025-55184 ist eine DoS-Schwachstelle in React Server Components, die mit React2Shell zusammenhängt. Erfahren Sie, wer betroffen ist, wie es funktioniert und wie Sie es vollständig patchen können.
Schwachstellen & Bedrohungen
Die Top-Schwachstellen in der Sicherheit der Software-Lieferkette erklärt
Schwachstellen in der Sicherheit der Software-Lieferkette
Verstehen Sie die größten Schwachstellen in der Sicherheit der Software-Lieferkette, von bösartigen Paketen bis hin zu Dependency-Confusion-Angriffen.
Leitfäden & Best Practices
Top 10 JavaScript-Sicherheitslücken in modernen Web-Apps
JavaScript-Sicherheitsschwachstellen | Die größten Risiken
Erfahren Sie mehr über die häufigsten JavaScript-Sicherheitsschwachstellen, die Frontend- und Backend-Anwendungen betreffen, einschließlich realer Angriffsvektoren.
Leitfäden & Best Practices
Die 10 häufigsten Python-Sicherheitsschwachstellen, die Entwickelnde vermeiden sollten
Python-Sicherheitsschwachstellen | Häufige Probleme
Ein praktischer Überblick über die häufigsten Python-Sicherheitsschwachstellen, unsichere Muster und abhängigkeitsbezogene Risiken.
Leitfäden & Best Practices
Die 10 häufigsten Code-Sicherheitsschwachstellen in modernen Anwendungen
Code-Sicherheitsschwachstellen | Häufige Risiken
Entdecken Sie die häufigsten Code-Sicherheitsschwachstellen, die Entwickelnde einführen, warum sie auftreten und wie Teams sie früher erkennen können.
Leitfäden & Best Practices
Top 9 Kubernetes-Sicherheitslücken und Fehlkonfigurationen
Kubernetes-Sicherheitslücken | Top-Risiken
Erfahren Sie mehr über die kritischsten Kubernetes-Sicherheitslücken, häufige Fehlkonfigurationen und warum Cluster oft standardmäßig exponiert sind.
Leitfäden & Best Practices
Top 10 Schwachstellen in der Webanwendungssicherheit, die jedes Team kennen sollte
Schwachstellen in der Webanwendungssicherheit | Top-Risiken
Entdecken Sie die häufigsten Schwachstellen in der Webanwendungssicherheit, Beispiele aus der Praxis und wie moderne Teams Risiken frühzeitig reduzieren können.
Leitfäden & Best Practices
OWASP Top 10 für agentenbasierte Anwendungen (2026): Was Entwickelnde und Sicherheitsteams wissen müssen
OWASP Top 10 für Agentic Applications (2026): Umfassender Leitfaden zu KI-Agenten-Sicherheitsrisiken
Erfahren Sie mehr über die OWASP Top 10 für Agentic Applications. Verstehen Sie die größten KI-Agenten-Sicherheitsrisiken, Beispiele aus der Praxis und wie Sie Ihre Umgebung härten können.
Leitfäden & Best Practices
DAST vs. Pentesting vs. KI-Penetrationstests: Warum DAST moderne Penetrationstests nicht ersetzen kann
DAST vs. Pentesting vs. KI-Penetrationstests: Die wichtigsten Unterschiede erklärt
Vergleichen Sie DAST, manuelle Penetrationstests und KI-Penetrationstests. Erfahren Sie, wo jeder Ansatz funktioniert, wo DAST Mängel aufweist und wie KI-Penetrationstests tiefere, kontinuierliche Tests moderner Anwendungen ermöglichen.
DevSec-Tools & Vergleiche
Secrets detection: Ein praktischer Leitfaden zum Auffinden und Verhindern geleakter Anmeldeinformationen
Leitfaden zur Erkennung von Secrets: Leaks finden und verhindern
Erfahren Sie, wie Secrets Detection funktioniert, was als Secret gilt (API-Schlüssel, Tokens, Zugangsdaten), wo Teams sie preisgeben und wie die Offenlegung in Git, CI und Produktion verhindert werden kann.
Leitfäden & Best Practices
Was ist CSPM (und CNAPP)? Cloud Security Posture Management erklärt
CSPM vs. CNAPP: Cloud-Posture erklärt
Eine klare Aufschlüsselung von CSPM und CNAPP: Was sie abdecken, wie sie Cloud-Risiken reduzieren, welche wichtigen Funktionen zu beachten sind und wie Teams sie tatsächlich implementieren.
Leitfäden & Best Practices
Erkennung und Prävention von Malware in modernen Software-Supply-Chains
Verhinderung von Malware in der Software-Lieferkette (Leitfaden)
Erfahren Sie, wie Supply-Chain-Malware in modernen Codebasen landet (Typosquatting, Dependency Confusion, bösartige Updates) und welche Abwehrmechanismen sie frühzeitig in CI/CD stoppen.
Leitfäden & Best Practices
Was ist IaC Security Scanning? Terraform, Kubernetes & Cloud-Fehlkonfigurationen erklärt
IaC-Sicherheitsscanning für Terraform & Kubernetes
Verstehen Sie IaC-Security-Scanning: wie es Cloud-Fehlkonfigurationen in Terraform/Kubernetes erkennt, was zu priorisieren ist und wie riskante Änderungen vor dem Deploy verhindert werden können.
Leitfäden & Best Practices
Der ultimative SAST-Leitfaden: Was sind Statische Anwendungssicherheitstests?
Ultimativer SAST-Leitfaden: Statische Anwendungssicherheitstests
Eine praktische SAST-Erläuterung: Wie Statische Anwendungssicherheitstests funktionieren, welche Probleme sie finden, häufige Fallstricke und wie man sie einführt, ohne Entwickelnde mit unnötigem Rauschen zu überfluten.
Leitfäden & Best Practices
Lieferketten-Sicherheit: Der ultimative Leitfaden zu Software-Kompositionsanalyse (SCA) Tools
Leitfaden zur Sicherheit der Lieferkette: Die besten SCA-Tools
Erfahren Sie, was SCA-Tools leisten, was sie erkennen (anfällige Abhängigkeiten, Lizenzen, Malware) und wie Sie die richtige Software-Kompositionsanalyse-Lösung für Ihren Stack auswählen.
Leitfäden & Best Practices
Kritische React- & Next.js-RCE-Schwachstelle (CVE-2025-55182): Was Sie jetzt beheben müssen
Kritische React- & Next.js-RCE-Schwachstelle CVE-2025-55182: Behebungsleitfaden
Erfahren Sie, wie CVE-2025-55182 und die damit verbundene Next.js-RCE React Server Components betreffen. Sehen Sie Auswirkungen, betroffene Versionen und wie man sie behebt. Aikido erkennt jetzt beide Probleme.
Schwachstellen & Bedrohungen
PromptPwnd: Prompt-Injection-Schwachstellen in GitHub Actions unter Verwendung von AI Agents
Prompt Injection in GitHub Actions: Die neue Grenze der Lieferkettenangriffe
AI-gesteuerte GitHub Actions decken neue Prompt-Injection Supply-Chain-Schwachstellen auf.
Schwachstellen & Bedrohungen
Shai Hulud 2.0: Was der unbekannte Wanderer uns über das Endspiel der Angreifer verrät
Shai Hulud 2.0: Was der unbekannte Wanderer über das Endspiel der Angreifer enthüllt
Neue Forschung zur Shai Hulud 2.0 Malware deutet darauf hin, dass der Benutzername UnknownWonderer1 mehr über das Endziel der Angreifer verrät.
Schwachstellen & Bedrohungen
SCA Everywhere: Open-Source-Abhängigkeiten in Ihrer IDE scannen und beheben
SCA in der IDE: Anfällige Abhängigkeiten mit AutoFix scannen und beheben
Integrieren Sie den vollständigen SCA-Workflow in Ihre IDE mit In-Editor-Scanning und AutoFix. Erkennen Sie anfällige Pakete, überprüfen Sie CVEs und wenden Sie sichere Upgrades an, ohne Ihren Entwicklungs-Workflow zu verlassen.
Produkt- & Unternehmens-Updates
Safe Chain erzwingt jetzt ein Mindestalter für Pakete vor der Installation
SafeChain erzwingt jetzt ein Mindestalter von 24 Stunden für Pakete, um sicherere Installationen zu gewährleisten
Safe Chain erzwingt jetzt ein Mindestalter von 24 Stunden für Pakete, um Angreifer daran zu hindern, neue Releases als Einstiegspunkt zu nutzen. Blockiert Malware frühzeitig und greift auf sichere Versionen zurück.
Produkt- & Unternehmens-Updates
Cloud-Sicherheit Tools erklärt: Wichtige Funktionen & Bewertungstipps
Cloud-Sicherheitstools: Funktionen & Auswahlkriterien
Entdecken Sie die wesentlichen Funktionen von Cloud-Sicherheitstools und erfahren Sie, wie Sie Anbieter vergleichen, um Ihre Cloud-Umgebungen zu schützen.
Leitfäden & Best Practices
ASPM-Tools: Wesentliche Funktionen & Wie man Anbieter bewertet
ASPM-Tools: Funktionen & Bewertungsleitfaden
Erhalten Sie einen Überblick über Application Security Posture Management (ASPM)-Tools, deren Hauptfunktionen und die Kriterien für die Auswahl der richtigen ASPM-Plattform.
Leitfäden & Best Practices
DAST-Tools: Funktionen, Fähigkeiten & wie man sie bewertet
DAST-Tools: Hauptfunktionen & Einkaufsleitfaden
Erfahren Sie, wie DAST-Tools funktionieren, welche ihre wichtigsten Funktionen sind und welche Bewertungskriterien bei der Auswahl einer dynamischen Testlösung zu berücksichtigen sind.
Leitfäden & Best Practices
SAST-Tools: Kernfunktionen & wie man die beste SAST-Lösung auswählt
SAST-Tools: Funktionen & Bewertungsleitfaden
Erfahren Sie die wichtigsten Funktionen von Statische Anwendungssicherheitstests-Tools und worauf Sie bei der Auswahl der idealen SAST-Lösung für Ihren Workflow achten sollten.
Leitfäden & Best Practices
Top JavaScript Sicherheitstools
Beste JavaScript-Sicherheitstools für Web- & Node.js-Anwendungen
Vergleichen Sie die besten JavaScript-Sicherheitstools, um npm-Pakete zu scannen, Schwachstellen zu erkennen und Front-End- sowie Node.js-Anwendungen zu sichern.
DevSec-Tools & Vergleiche
Vielen Dank! Ihre Einreichung wurde empfangen!
Hoppla! Beim Absenden des Formulars ist etwas schiefgelaufen.
12. Dezember 2025
„•“
Schwachstellen & Bedrohungen

React & Next.js DoS-Schwachstelle (CVE-2025-55184): Was Sie nach React2Shell beheben müssen

Tags/
Keine Elemente gefunden.
10. Dezember 2025
„•“
Leitfäden & Best Practices

OWASP Top 10 für agentenbasierte Anwendungen (2026): Was Entwickelnde und Sicherheitsteams wissen müssen

Tags/

#OWASP

4. Dezember 2025
„•“
Leitfäden & Best Practices

Top 7 Cloud-Sicherheits-Schwachstellen

Tags/

#Cloud

#Schwachstellen

3. Dezember 2025
„•“
Compliance

Wie man die UK Cybersecurity & Resilience Bill einhält: Ein praktischer Leitfaden für moderne Engineering-Teams

Tags/

#Compliance

#DevSecOps

28. November 2025
„•“
Produkt- & Unternehmens-Updates

SCA Everywhere: Open-Source-Abhängigkeiten in Ihrer IDE scannen und beheben

Tags/

#SCA

#AutoFix

28. November 2025
„•“
Produkt- & Unternehmens-Updates

Safe Chain erzwingt jetzt ein Mindestalter für Pakete vor der Installation

Tags/

#Malware

#SCA

21. November 2025
„•“
Leitfäden & Best Practices

CORS Security: Jenseits der Basiskonfiguration

Ein praktischer Leitfaden zur Vermeidung gängiger CORS-Probleme.

Tags/
Keine Elemente gefunden.
12. November 2025
„•“
Leitfäden & Best Practices

Secrets detection: Ein praktischer Leitfaden zum Auffinden und Verhindern geleakter Anmeldeinformationen

Tags/

#AppSec

6. November 2025
„•“
Leitfäden & Best Practices

AI als Power Tool: Wie Windsurf und Devin Secure Coding verändern

Tags/

#Artikel

6. November 2025
„•“
Leitfäden & Best Practices

Schnell entwickeln, sicher bleiben: Supabases Ansatz für Secure-by-Default-Entwicklung

Tags/

#Artikel

4. November 2025
„•“
Leitfäden & Best Practices

Top 10 JavaScript-Sicherheitslücken in modernen Web-Apps

Tags/

#Schwachstellen

#DevSecOps

31. Oktober 2025
„•“
Schwachstellen & Bedrohungen

Die Rückkehr der unsichtbaren Bedrohung: Versteckte PUA Unicode-Treffer in GitHub-Repositorys

Tags/

#Malware

Produkt- & Unternehmens-Updates
Alle anzeigen
Alle anzeigen
24. März 2026
„•“
Produkt- & Unternehmens-Updates

Aikido × Lovable: Vibe, Fix, Ship

Lovable und Aikido integrieren Pentesting in die Plattform, sodass Entwickler reale Angriffe simulieren und Probleme beheben können, bevor die Software ausgeliefert wird.

#
Ankündigungen
#
AI Penetration Testing
12. März 2026
„•“
Produkt- & Unternehmens-Updates

Wir stellen Betterleaks vor, einen Open-Source Secrets-Scanner vom Autor von Gitleaks

Betterleaks ist ein neuer Open-Source Secrets-Scanner vom Entwickler von Gitleaks. Ein direkter Ersatz mit schnelleren Scans, Erkennung der Token-Effizienz, konfigurierbarer Validierung und vielem mehr.

26. Februar 2026
„•“
Produkt- & Unternehmens-Updates

Vorstellung von Aikido Infinite: Ein neues Modell selbstsichernder Software

Aikido Infinite führt KI-Penetrationstests bei jeder Code-Änderung durch, validiert die Ausnutzbarkeit, generiert Patches und testet Korrekturen erneut, bevor der Code in Produktion geht, wodurch selbstsichernde Software Realität wird.

#
AI Penetration Testing
#
Ankündigungen
#
Selbstsichernde Software
Schwachstellen & Bedrohungen
Alle anzeigen
Alle anzeigen
8. April 2026
„•“
Schwachstellen & Bedrohungen

GlassWorm wird nativ: Der neue Zig-Dropper befällt jede IDE auf Ihrem Rechner

GlassWorm setzt einen auf Zig basierenden nativen Dropper ein, der in einer gefälschten Erweiterung versteckt ist und VS Code, Cursor, VSCodium und andere IDEs unbemerkt kompromittiert.

#
Malware
27. März 2026
„•“
Schwachstellen & Bedrohungen

Beliebtes Telnyx-Paket auf PyPI von TeamPCP kompromittiert

Das beliebte Telnyx-Paket auf PyPI, das von großen KI-Unternehmen genutzt wird, wurde von TeamPCP kompromittiert

#
Malware
#
Pypi
22. März 2026
„•“
Schwachstellen & Bedrohungen

CanisterWorm bekommt Zähne: TeamPCPs Kubernetes Wiper zielt auf Iran ab

CanisterWorm bekommt Zähne: TeamPCPs Kubernetes Wiper zielt auf Iran ab

#
NPM
#
Malware
DevSec-Tools & Vergleiche
Alle anzeigen
Alle anzeigen
19. August 2025
„•“
DevSec-Tools & Vergleiche

Top 12 Dynamische Anwendungssicherheitstests (DAST) Tools im Jahr 2026

Entdecken Sie die 12 besten Tools für Dynamische Anwendungssicherheitstests (DAST) im Jahr 2026. Vergleichen Sie Funktionen, Vor- und Nachteile sowie Integrationen, um die richtige DAST-Lösung für Ihre DevSecOps-Pipeline zu wählen.

#
Tools
#
DAST
18. Juli 2025
„•“
DevSec-Tools & Vergleiche

Top 13 Container Scanning Tools im Jahr 2026

Entdecken Sie die 13 besten Container-Scanning-Tools im Jahr 2026. Vergleichen Sie Funktionen, Vor- und Nachteile sowie Integrationen, um die richtige Lösung für Ihre DevSecOps-Pipeline zu wählen.

#
Tools
#
Container-Scanning
17. Juli 2025
„•“
DevSec-Tools & Vergleiche

Die 10 besten Tools für Software-Kompositionsanalyse (SCA) im Jahr 2026

SCA-Tools sind unsere beste Verteidigungslinie für Open-Source-Sicherheit. Dieser Artikel untersucht die 10 besten Open-Source-Dependency-Scanner für 2026.

#
Tools
#
SCA
Leitfäden & Best Practices
Alle anzeigen
Alle anzeigen
19. März 2026
„•“
Leitfäden & Best Practices

Sicherheitstests validieren Software, die nicht mehr existiert

Moderne Teams liefern schneller aus, als Pentesting mithalten kann. Entdecken Sie die wachsende Geschwindigkeitslücke bei Sicherheitstests – und warum traditionelle Ansätze ins Hintertreffen geraten.

#
AI Penetration Testing
#
Kontinuierliches Pentesten
#
Pentesting
6. März 2026
„•“
Leitfäden & Best Practices

Was kontinuierliches Penetrationstesten tatsächlich erfordert

Kontinuierliches Penetrationstesten verspricht Echtzeit-Sicherheitsvalidierung, aber die meisten Implementierungen bleiben hinter den Erwartungen zurück. Hier ist, was kontinuierliches Penetrationstesten tatsächlich erfordert – von änderungsbewusstem Testen über Exploit-Validierung bis hin zu Remediation-Loops.

3. März 2026
„•“
Leitfäden & Best Practices

Selten, nicht zufällig: Nutzung der Token-Effizienz für den Secrets-Scan

Entropie hat oft Schwierigkeiten mit generischen Secrets und kurzen Zeichenketten. Wir untersuchen, wie die Token-Effizienz Zeichenketten besser identifizieren kann, die nicht wie normaler Text aussehen.

#
AppSec

Sicherheit jetzt implementieren

Sichern Sie Ihren Code, Ihre Cloud und Ihre Laufzeit in einem zentralen System.
Finden und beheben Sie Schwachstellen schnell und automatisch.

Jetzt scannen
Ohne Kreditkarte
Demo buchen
Keine Kreditkarte erforderlich | Scan-Ergebnisse in 32 Sek.