Aikido
Kostenlos starten
Ohne Kreditkarte
BerichteSchützen
Warum der Zugriff auf den Code bei KI-Penetrationstests zu einem höheren ROI führt

Warum der Zugriff auf den Code bei KI-Penetrationstests zu einem höheren ROI führt

Bei mehr als 1.000 KI-gestützten Penetrationstests wurden im Rahmen von White-Box-Tests siebenmal mehr hochgradige und kritische Schwachstellen entdeckt – und das bei nur halb so hohen Kosten pro Fund. Die Argumente für die Gewährung von Code-Zugriff sind nicht mehr nur theoretischer Natur. Sie sind messbar.

  • Kosteneffizienz. Bei Whitebox-Tests waren pro Befund 15 Agentenstarts erforderlich, bei Greybox-Tests hingegen 31: ein doppelt so hoher Kostenaufwand, der sich über das gesamte Sicherheitsprogramm hinweg summiert.

  • Umfang der Schwachstellenentdeckung. Durch Whitebox-Tests wurden siebenmal mehr schwerwiegende und kritische Schwachstellen aufgedeckt, darunter fehlerhafte Zugriffskontrolle, Mängel in der Authentifizierungslogik und SSRF-Probleme, die ohne Quellcode nicht erkennbar sind.

  • Die Asymmetrie beim Zugriff. Für KI-Agenten dauert das Einlesen einer kompletten Codebasis nur wenige Sekunden. Der Aufwand, der White-Box-Tests bisher zu einer kostspieligen Aufgabe für menschliche Mitarbeiter machte, entfällt nun, sodass der Zugriff auf den Code zum Input mit dem höchsten ROI für einen KI-Penetrationstest wird.

Zusammenfassung

Greybox-Tests verringern das Risiko nicht. Sie verringern lediglich die Transparenz hinsichtlich des Risikos.

Ohne Quellcode sind KI-Agenten auf die externe Angriffsfläche beschränkt. Sie können keine Rückschlüsse auf interne Autorisierungslogik, mehrstufige Authentifizierungsabläufe oder Probleme mit der Datenintegrität ziehen, die in einer HTTP-Antwort niemals auftauchen.

Dieser Bericht stützt sich auf Daten aus über 1.000 KI-gestützten Interaktionen auf der Aikido . Er behandelt folgende Themen:

  • Vergleich von Whitebox- und Greybox-Kennzahlen hinsichtlich Gesamtzahl der Befunde, Schweregrad und Kosten
  • Die drei Schwachstellenklassen, bei denen die Lücke am größten ist: fehlerhafte Zugriffskontrolle 5-mal umfassendere Abdeckung), Fehler in der Authentifizierungslogik (3-mal umfassendere Abdeckung) sowie SSRF- und Datenintegritätsfehler (nur Whitebox)
  • Wie Whitebox-Tests automatische Behebung ermöglichen – vom Fund bis zum Pull Request – und so einen mehrwöchigen Fehlerbehebungszyklus auf wenige Stunden verkürzen

Was Sie lernen werden

Wann sollte man standardmäßig auf Whitebox-Tests zurückgreifen, wann ist Greybox die richtige Wahl, und wie trifft man diese Entscheidung auf der Grundlage von Zugriffszeitplänen und der Kritikalität der Anwendung – und nicht aus Gewohnheit?

Verfasst von:
Shaun Brown

Shaun ist Technical Product Marketing Manager Aikido und macht komplexe Sicherheitsprodukte zu Geschichten, die den Markt wirklich interessieren. Sein Hintergrund reicht von Softwaretests bis hin zur Cybersicherheit und basiert auf einer wissenschaftlichen Ausbildung sowie einer Karriere an der Spitze der geowissenschaftlichen Forschung.

Wichtige Erkenntnisse

  • Kosteneffizienz. Bei Whitebox-Tests waren pro Befund 15 Agentenstarts erforderlich, bei Greybox-Tests hingegen 31: ein doppelt so hoher Kostenaufwand, der sich über das gesamte Sicherheitsprogramm hinweg summiert.

  • Umfang der Schwachstellenentdeckung. Durch Whitebox-Tests wurden siebenmal mehr schwerwiegende und kritische Schwachstellen aufgedeckt, darunter fehlerhafte Zugriffskontrolle, Mängel in der Authentifizierungslogik und SSRF-Probleme, die ohne Quellcode nicht erkennbar sind.

  • Die Asymmetrie beim Zugriff. Für KI-Agenten dauert das Einlesen einer kompletten Codebasis nur wenige Sekunden. Der Aufwand, der White-Box-Tests bisher zu einer kostspieligen Aufgabe für menschliche Mitarbeiter machte, entfällt nun, sodass der Zugriff auf den Code zum Input mit dem höchsten ROI für einen KI-Penetrationstest wird.

Zusammenfassung

Greybox-Tests verringern das Risiko nicht. Sie verringern lediglich die Transparenz hinsichtlich des Risikos.

Ohne Quellcode sind KI-Agenten auf die externe Angriffsfläche beschränkt. Sie können keine Rückschlüsse auf interne Autorisierungslogik, mehrstufige Authentifizierungsabläufe oder Probleme mit der Datenintegrität ziehen, die in einer HTTP-Antwort niemals auftauchen.

Dieser Bericht stützt sich auf Daten aus über 1.000 KI-gestützten Interaktionen auf der Aikido . Er behandelt folgende Themen:

  • Vergleich von Whitebox- und Greybox-Kennzahlen hinsichtlich Gesamtzahl der Befunde, Schweregrad und Kosten
  • Die drei Schwachstellenklassen, bei denen die Lücke am größten ist: fehlerhafte Zugriffskontrolle 5-mal umfassendere Abdeckung), Fehler in der Authentifizierungslogik (3-mal umfassendere Abdeckung) sowie SSRF- und Datenintegritätsfehler (nur Whitebox)
  • Wie Whitebox-Tests automatische Behebung ermöglichen – vom Fund bis zum Pull Request – und so einen mehrwöchigen Fehlerbehebungszyklus auf wenige Stunden verkürzen

Was Sie lernen werden

Wann sollte man standardmäßig auf Whitebox-Tests zurückgreifen, wann ist Greybox die richtige Wahl, und wie trifft man diese Entscheidung auf der Grundlage von Zugriffszeitplänen und der Kritikalität der Anwendung – und nicht aus Gewohnheit?

Verfasst von:
Shaun Brown

Shaun ist Technical Product Marketing Manager Aikido und macht komplexe Sicherheitsprodukte zu Geschichten, die den Markt wirklich interessieren. Sein Hintergrund reicht von Softwaretests bis hin zur Cybersicherheit und basiert auf einer wissenschaftlichen Ausbildung sowie einer Karriere an der Spitze der geowissenschaftlichen Forschung.